Nuovi buchi di sicurezza per Explorer e Firefox

Ennesimo buco di sicurezza per Internet Explorer, ma questa volta ci sono problemi anche per Firefox. Leggendo l'articolo pubblicato su The Register scopro che Michael Zalewski, ricercatore sulla sicurezza e hacker affermato, ha trovato quattro nuovissimi bug nei browser web e senza perdere tempo ha pubblicato il risultato della sua ricerca su questo forum online.

Lettura dei Cookie (IE 6 e 7)
La vulnerabilità più critica è quella del browser di casa Microsoft, sia IE6 che IE7. Tramite un codice Javascript è possibile leggere i cookie presenti sul pc dell'utente per scoprire informazioni che dovrebbero rimanere nascoste. Bisogna specificare che non tutti i siti web scrivono nei cookie e non tutti scrivono informazioni importanti al suo interno, in ogni caso è una falla e deve essere chiusa. La demo del bug va a leggere il cookie di google.pl, sono riuscito a provarla in prima persona grazie ad un amico polacco che usa google nella sua lingua, confermo l'errore.

Dirottamento IFRAME (Firefox)
Un codice Javascript può essere usato in relazione al componente html IFRAME per inserire del codice eseguibile all'interno del browser. Con questo codice si potrebbe monitorare tranquillamente le azioni dell'utente, intercettando quello che viene digitato sulla tastiera. Provando in prima persona la demo del bug, vi posso assicurare che c'è da aver paura.

Installazione nascosta di software (Firefox)

Giocando con una particolare sequenza di focus/blur è possibile fare in modo che l'utente scarichi ed esegua un software senza accorgersene. La demo permette il download di un file che visualizza il tuo C:\...ha eseguito su IE, il mio programma di default per gli html, un file con estensione .html senza chiedermi nulla.

Contraffazione pacchetti (IE 6)

Questo sarà sicuramente utilizzato per qualche truffa di phishing . Permette di farti vedere un sito qualsiasi scrivendo sulla barra degli indirizzi una url differente, già mi vedo i cloni degli internet banking di banche online. Per onor di cronaca devo dire che è L'unica demo che non sono riuscito a far funzionare.

  • shares
  • Mail
11 commenti Aggiorna
Ordina: