sabato 24 luglio 2010

Tutti i browser sono vulnerabili: Firefox, IExplorer, Chrome e Safari

Nuove vulnerabilità per quasi tutti i browser: un ricercatore ha scoperto bug nella funzione di autocompletamento e nella memorizzazione delle password

Tutti i più noti browser hanno vulnerabilità che possono essere sfruttate da malintenzionati per rubare dati sensibili, come nome, indirizzo email, password, ecc.. La scoperta è stata fatta dal ricercatore Jeremiah Grossman, che mostrerà i bug che affliggono Safari, Internet Explorer, Firefox e Chrome durante la conferenza Black Hat di Las Vegas, in programma la prossima settimana.

Le versioni 4 e 5 di Safari, e le versioni 6 e 7 di Internet Explorer, hanno una grave vulnerabilità che riguarda la funzione di autocompletamento. Non si tratta della normale funzione che consente al browser di ricordare i dati inseriti nei campi di un form, ma di una caratteristica che viene sfruttata anche sui siti web non ancora visitati dall'utente.

In dettaglio, è possibile creare una pagina web che, mediante codice javascript, inserisce le informazioni nei campi di testo, senza che l'utente si accorga di nulla (il testo è invisibile). Il codice genera varie combinazioni di lettere e, quando viene trovata una corrispondenza con il contenuto della rubrica, il browser autocompleta il form con tutti i dati.

Firefox e Chrome, immuni da questo tipo di attacco, hanno invece una vulnerabilità di tipo XSS (cross-site scripting). È possibile rubare nome e password che l'utente inserisce quando effettua il login in siti come Facebook e Google.

[fonte: digital.it]

Nessun commento:

Posta un commento