06/02/2015 di Redazione

Internet Explorer 11, minacciati i protocolli di sicurezza

Una vulnerabilità zero-day è stata scoperta nel browser della casa di Redmond. Navigando con IE 11, gli utenti Windows 7 e Windows 8.1 rischiano di esporsi al furto di credenziali d’accesso e all’esecuzione di codice maligno. Il consiglio di Microsoft? Ge

immagine.jpg

Non aprite quel link. A meno che non vogliate avere a che fare con una nuova vulnerabilità appena scoperta, in grado di mettere in serio pericolo Internet Explorer 11. Quella che era stata presentata come la versione più sicura del browser di navigazione creato a Redmond è ora protagonista di un caso “zero-day”, a causa di un baco a cui per ora non si può porre rimedio, come ha praticamente fatto intendere la stessa Microsoft, dichiarando semplicemente: “Incoraggiamo gli utenti a non aprire link che arrivino da fonti non fidate e a non visitare siti poco attendibili”.

“Inoltre”, prosegue la nota dell’azienda, “ricordiamo sempre di effettuare il log out dagli account personali, in modo da proteggere le proprie informazioni”. La società, in ogni caso, sarebbe al lavoro per sistemare il problema.

La nuova minaccia, riportata da WinBeta, è una vulnerabilità di tipo cross-site scripting (Xss) che può colpire siti Web dinamici e bypassare la “regola della stessa origine” o same-origin policy: un concetto importante soprattutto nei portali che utilizzano i cookie, in grado di limitare l’interazione tra documenti, script e risorse di vario genere provenienti proprio da origini differenti.

Secondo l’analisi fatta da WinBeta, la vulnerabilità di cross-site scripting coinvolgerebbe Internet Explorer 11 sia su Windows 7 sia su Windows 8.1 e consegnerebbe nelle mani dei malintenzionati un’arma a doppio taglio. Innanzitutto, permetterebbe il furto di credenziali d’accesso e, in un momento successivo, inserirebbe del codice dannoso nella sessione corrente.

Questa tecnica consente di sfruttare la “fiducia” che i browser possono riporre in certe stringhe di codice, spedite a utenti ignari e avviate automaticamente. Internet Explorer, così come può accadere anche per altre applicazioni, non avrebbe i mezzi per riconoscere l’intento fraudolento e continuerebbe a lavorare tranquillamente. Una falla Xss può accedere liberamente ai cookie, ai token di sessione e ad altre informazioni sensibili custodite dal browser ed eseguite in contemporanea con uno specifico sito. Non solo: la minaccia, definita come seria, può addirittura riscrivere il codice Html delle pagine.

 

ARTICOLI CORRELATI