Aranzulla: come ti inganno il browser

Il giovanissimo bug hunter italiano ha scoperto una nuova vulnerabilità presente in alcuni browser, tra cui Firefox e Internet Explorer, che potrebbe essere utilizzata per attacchi di phishing

Roma - Il giovane hacker italiano Salvatore Aranzulla ha segnalato l'esistenza di una vulnerabilità di sicurezza in diversi browser, tra cui Firefox e Internet Explorer, che potrebbe essere sfruttata per attacchi di phishing.

In questo advisory Aranzulla ha spiegato che la debolezza da lui scoperta può essere sfruttata per mascherare, nella barra di stato (o status bar) del browser, il vero indirizzo a cui punta un link.

"Il funzionamento della vulnerabilità da me scoperta con l'aiuto di th3Br41n, che mi ha rifinito l'exploit, è molto semplice", ha detto scritto Aranzulla sul proprio sito. "Viene creato un collegamento e, quando si clicca, viene immediatamente cambiato l'indirizzo fidato con uno non fidato, per poi reimpostarlo alla fine con quello fidato. In tal modo, seppur venga mostrato l'indirizzo fidato nella status bar, si viene portati in un sito non fidato".
Come sempre, un esempio pratico vale più di mille parole: qui gli utenti dei browser vulnerabili noteranno che passando la freccetta del mouse sul link Sei sicuro che l'indirizzo sia quello di Microsoft? l'URL mostrata nella status bar è http://www.microsoft.com/: in realtà se si clicca sul link si finisce su ben altro sito. In redazione si è scoperto che il trucco può talvolta essere smascherato selezionando il testo linkato e deselezionandolo subito dopo: questa operazione, in certe circostanze, fa sì che la barra di stato torni a visualizzare l'URL corretto.

"Tengo a precisare - ha detto Aranzulla a Punto Informatico - che la falla non utilizza window.status ed è funzionante sia in Internet Explorer che Mozilla sfruttando l'evento onclick di Javascript". Il programmatore ha tuttavia ammesso che "non è la prima volta che vengono scoperte vulnerabilità di questo tipo".

Aranzulla non ha fornito un elenco dei browser vulnerabili.

Va detto che il problema, da solo, rappresenta una minaccia molto modesta per la sicurezza degli utenti: utilizzato in congiunzione con altre debolezze potrebbe tuttavia andare a vantaggio di chi progetta truffe online.
357 Commenti alla Notizia Aranzulla: come ti inganno il browser
Ordina
  • aranzulla non s'è fatto neanche il sito da solo... ma gliel'ha fatto questo tizio qui:
    http://www.desmm.com/il-template-di-salvatore-aran...

    !!!
    non+autenticato
  • Infatti scrive sul suo sito:

    "Non ne posso più di tutte queste barre blu! Questa notte ho addirittura avuto un incubo. Ho sognato che le finestre di Windows XP, che hanno le barre di colore blu, uscivano dal mio computer e iniziavano a danzarmi intorno. Mi sono alzato per la paura e non sono più riuscito ad addormentarmi.

    In fin dei conti, dopo tutti questi anni, l’interfaccia grafica di Windows XP mi ha davvero stufato e non la sopporto più (mi fa venire gli incubi!)."


    Una sola parola:
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHA!!!!!!!!!!!!!!!!!!!
    non+autenticato
  • Raga leggete! Dalla presentazione sembra il capo della M$...

    http://www.salvatore-aranzulla.com/informazioni-ge...

    Ricordate che alla fine della pagina ci sono i link delle sue foto a risoluzione ADATTA PER LA STAMMPA, quindi se volete appenderlo in camera, oppure incorniciarlo per accendergli qualche cero davanti, potete farlo!

    Una cosa è certa... Questo qui è bravo a vender fumo... Ha fatto una barca di soldi con il copia-incolla!
    non+autenticato
  • Ed il bello è che nel suo sito ci sono scritte cose come

    "Il seguente articolo è rivolto ad un pubblico esperto e smanettone, che riesce a risolvere gli eventuali problemi che gli si possono presentare durante l’applicazione dello stesso."


    Quindi quell'articolo NON ERA ADATTO A LUI.

    Ma torna a giocare a pokemon va...


    Comunque... se siete depressi... fate un salto sul suo sito... il divertimento è assicurato!
    non+autenticato
  • ho fatto la prova e sulla barra degli indirizzi risulta chiaro e limpido
    http://www.salvatore-aranzulla.com/
    non+autenticato
  • Si sta qui a parlare di Aranzulla....! Sinceramente io rido! Leggo sul suo sito la sintassi per aprire una porta sul firewall che lui considera una vulnerabilita'..! Ovvio e' normale e' un bug quello! Ovviamente quando non si sa di cosa si parla ste boiate catastrofiche escono! La cosa che mi fa piu' incazzare e' che sento gente che lo difende. Io a 16 anni insieme a un mio amico avevamo un provider internet con due bei pentium 133 uno per la posta! L'altro per gestire la fottuttissima multiporta seriale! Mi ricordo ancora cosa succedeva quando si sconfigurava su Linux le nottate! Io a 16 anni sapevo cos'era una route sapevo calcolarmi le maschere sapevo montare una tabella di rounting e un ras! Sapevo entrare in uno IOS di un cisco e me lo sapevo configurare con le porte che mi servivano! Sto qui cosa sa fare? Quello che fanno tanti oggi smanettare,rubare qualche news da un sito in cui scrive gente con le palle e prendersene il merito quando gli riesce, ancora peggio parlare di cosa non conosce!
    Va a parlare con il sindaco perche' nel suo paese non arriva l'adsl! Ovviamente non sa che telecom non monta su il Plex se non ci sono un minimo di richieste per ripagare l'installazione!
    Leggo gente che scrive quanti di voi avevano un dominio a 16 anni?
    Io avevo direttamente il server con Apache! collegato con una bella CDN di INterbusiness! PUO' Bastare per reggere in confronto?
    Eppure non pubblico articoli! non mi vanto, non ho un dominio registrato ma ho un semplice spazio free con tanto di redirect perche' mi scoccia pagar soldi per una cosa che non mi e' essenziale!
    La verita' e' che gli diamo importanza pure noi parlandone male! Va ignorato punto e basta!
    Qui c'e' gente che vuol leggere roba seria non boiate! Hacker? ma dove? ma se non sa manco cos'e' un MAC address? Io sono un Sistemista, ma mi guardo bene e molto bene da definirmi altro per esempio un programmatore! Sto qui e' gia' hacker, programmatore, bug hunter, sistemista. Questo e' il classico tipo che non riesce manco a montare una Mandrake! Gente come lui ce ne sono a bizzeffe! ma invece di parlare di lui perche' non parliamo di tutti i i ragazzi che sono nei vari politecnici che per tesi si portano un sistema operativo sviluppato da loro su kernel linux?
    Questi sono ragazzi da stimare! Queste sono persone con le palle con le quali a volte mentre parli ti fermi a pensare: minchia ma sto qui quanto ne sa?
    Va a studiare va! Pensa a usare Internet per imparare come funzionano le cose! e poi quando hai le idee ben chiare ti metti a scrivere articoli!

    Nidhan (Gianfranco)
    non+autenticato
  • Ah dimenticavo ne ho 25 di anni adesso!
    Sono un dio?
    No sono uno che si guadagna lo stipendio ogni giorno! E deve lottare continuamente con sti tipetti tuttofare tipo aranzulla che montano reti e sistemi a prezzi inferiori ai miei e poi alla fine non hanno fatto un'emerita cippa e i clienti pagano due volte.

    Ho imparato una cosa in questo mondo da parecchio! In informatica conta la conoscenza non il sentito dire! E il caro aranzulla parla tantissimo per sentito dire!

    Nidhan (Gianfranco)
    non+autenticato
  • - Scritto da: Anonimo
    > Ah dimenticavo ne ho 25 di anni adesso!
    > Sono un dio?
    > No sono uno che si guadagna lo stipendio ogni
    > giorno! E deve lottare continuamente con sti
    > tipetti tuttofare tipo aranzulla che montano reti
    > e sistemi a prezzi inferiori ai miei e poi alla
    > fine non hanno fatto un'emerita cippa e i clienti
    > pagano due volte.
    >
    > Ho imparato una cosa in questo mondo da
    > parecchio! In informatica conta la conoscenza non
    > il sentito dire! E il caro aranzulla parla
    > tantissimo per sentito dire!
    >
    > Nidhan (Gianfranco)


    a gianfra' e ti lamenti ma ringrazia, che ci stanno questi qua almeno ti chiamano le aziende e li fai pagare il doppio per un lavoro di m***rda fatto da questi quiA bocca aperta
    L'unico problema e che molte volte so pure raccomandati quindi pagano e lasciano tutto na m***da finche non gli esplode qualche switch in facciaA bocca aperta


    ==================================
    Modificato dall'autore il 13/09/2005 0.35.38
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | Successiva
(pagina 1/14 - 67 discussioni)