Nuovi buchi di sicurezza per Explorer e Firefox

Ennesimo buco di sicurezza per Internet Explorer, ma questa volta ci sono problemi anche per Firefox. Leggendo l’articolo pubblicato su The Register scopro che Michael Zalewski, ricercatore sulla sicurezza e hacker affermato, ha trovato quattro nuovissimi bug nei browser web e senza perdere tempo ha pubblicato il risultato della sua ricerca su questo forum online.

Lettura dei Cookie (IE 6 e 7)
La vulnerabilità più critica è quella del browser di casa Microsoft, sia IE6 che IE7. Tramite un codice Javascript è possibile leggere i cookie presenti sul pc dell’utente per scoprire informazioni che dovrebbero rimanere nascoste. Bisogna specificare che non tutti i siti web scrivono nei cookie e non tutti scrivono informazioni importanti al suo interno, in ogni caso è una falla e deve essere chiusa. La demo del bug va a leggere il cookie di google.pl, sono riuscito a provarla in prima persona grazie ad un amico polacco che usa google nella sua lingua, confermo l’errore.

Dirottamento IFRAME (Firefox)
Un codice Javascript può essere usato in relazione al componente html IFRAME per inserire del codice eseguibile all’interno del browser. Con questo codice si potrebbe monitorare tranquillamente le azioni dell’utente, intercettando quello che viene digitato sulla tastiera. Provando in prima persona la demo del bug, vi posso assicurare che c’è da aver paura.

Installazione nascosta di software (Firefox)
Giocando con una particolare sequenza di focus/blur è possibile fare in modo che l’utente scarichi ed esegua un software senza accorgersene. La demo permette il download di un file che visualizza il tuo C:…ha eseguito su IE, il mio programma di default per gli html, un file con estensione .html senza chiedermi nulla.

Contraffazione pacchetti (IE 6)
Questo sarà sicuramente utilizzato per qualche truffa di phishing . Permette di farti vedere un sito qualsiasi scrivendo sulla barra degli indirizzi una url differente, già mi vedo i cloni degli internet banking di banche online. Per onor di cronaca devo dire che è L’unica demo che non sono riuscito a far funzionare.

(2 Voti | Media: 5 su 5)

11 commenti

Categorie

• Browser
• Microsoft
• Mozilla
• Firefox

Articoli simili

I -1 arrivano su Google+ grazie a un'estensione per Chrome e Firefox del 08 dic 2011

Problemi di sicurezza per i server di Hadopi del 26 mag 2011

Aggiornamento di sicurezza per Adobe Reader e Adobe Acrobat del 15 ott 2009

Scoperta falla di sicurezza in Windows Vista e Windows 7 del 09 set 2009

Twittorati: il motore di ricerca per twitter di Technorati del 08 lug 2009

Gallerie Correlate

• 
  Opera Next 11.50 Alpha
• 
  Cercare con Firefox
• 
  Firefox 4
• 
  Safari Reader

Commenti dei lettori

• mariol

  05 giu 2007 - 10:59 - #1

  0 punti

  

  ormai la sicurezza è solo sui PC disconnessi da internet !

• 

  Dox

  05 giu 2007 - 12:06 - #2

  0 punti

  

  sono falle davvero gravi…

• 

  Mr._GöRéFe$T

  05 giu 2007 - 12:27 - #3

  0 punti

  

  Su Ubuntu non funziona!!
  :D

• 

  mauro con Joost

  05 giu 2007 - 13:24 - #4

  0 punti

  

  Si va bene e’ una bella cosa scoprire nuove falle etc..
  Ma pubblicizzarla in modo cosi plateale non ha un effetto controproducente,,,cioe’ spiehnado dove e’ la magagna aiuta i criminali?
  Non sarebbe neglio che per TUTTI i sistemi operativi o softwware intteressati avessero PRIMA la notizia e dopo 24 ore preparata la patch e fornibile online agli utenti divulgarla al mondo..??
  E’ come dire al mondo guardate che per fare saltare in aria la centrale atomica di pinco pallino non serve molto e vi spiego il problema…
  Seocndo me un atteggiamento del genere oltre a essere del tipo guarda come sono bravo l’ho trovato prima io..e’ altamente pericoloso.
  molto diverso sarebbe una task force con microsoft,mozzilla etc etc.. dando il dovuto merito a chi ha trovato il problema permettendo di risolverlo in poco tempo…MAh diventa sempre piu’ un mondo virtuale schizofrenico,e malato..

• 

  mauro con Joost

  05 giu 2007 - 13:25 - #5

  0 punti

  

  Si va bene e’ una bella cosa scoprire nuove falle etc..
  Ma pubblicizzarla in modo cosi plateale non ha un effetto controproducente,,,cioe’ spiehnado dove e’ la magagna aiuta i criminali?
  Non sarebbe neglio che per TUTTI i sistemi operativi o softwware intteressati avessero PRIMA la notizia e dopo 24 ore preparata la patch e fornibile online agli utenti divulgarla al mondo..??
  E’ come dire al mondo guardate che per fare saltare in aria la centrale atomica di pinco pallino non serve molto e vi spiego il problema…
  Seocndo me un atteggiamento del genere oltre a essere del tipo guarda come sono bravo l’ho trovato prima io..e’ altamente pericoloso.
  molto diverso sarebbe una task force con microsoft,mozzilla etc etc.. dando il dovuto merito a chi ha trovato il problema permettendo di risolverlo in poco tempo…MAh diventa sempre piu’ un mondo virtuale schizofrenico,e malato..

• francescog

  05 giu 2007 - 15:59 - #6

  0 punti

  

  http://www.theregister.com/2007/02/15/firefox_vuln/
  ma a parte i sensazionalismi : avete visto la data e la versione a cui si riferiscono le falle ?
  Bè ora Firefox alla 2.04 mentre il 15 febbraio si parlava delle falle gravi riferite alla 2.01 !

• Alle

  05 giu 2007 - 16:15 - #7

  0 punti

  

  Usate OPERA non non avrete mai questi problemi….

• 

  rogerdodger

  05 giu 2007 - 16:57 - #8

  0 punti

  

  @MARIOL

  e con la spina staccata aggiungo io..

  ;)

• 

  rogerdodger

  05 giu 2007 - 17:02 - #9

  0 punti

  

  ALLE

  eheh

  http://www.megalab.it/news.php?id=1332

  ;)

• 

  Steve9

  05 giu 2007 - 19:31 - #10

  0 punti

  

  ah..ma firefox non ha mai problemi..no..

• downloadblog

  07 giu 2007 - 10:15 - #11

  0 punti

  

  […] Mozilla […]