In IE uno spiffero pro-phisher

Una debolezza appena scoperta nel browser di Microsoft potrebbe favorire la subdola opera dei phisher, consentendo di mascherare il vero URL di un sito web

Roma - Un esperto di sicurezza di nome Hai Nam Luke ha scoperto una debolezza in Internet Explorer che potrebbe andare a vantaggio dei phisher. Il problema, secondo quanto spiegato in questo advisory di Secunia, è da ricondurre ad un errore nel codice di IE che gestisce il caricamento di certi contenuti web, ed in particolare i file in formato Flash (.swf).

Questa vulnerabilità potrebbe essere sfruttata da un malintenzionato per mascherare il vero URL di un sito - quello mostrato nella barra degli indirizzi del browser - con uno falso: una tecnica di cui in passato i phisher si sono spesso avvalsi per indurre gli utenti a fidarsi di un sito truffaldino.

Secunia afferma di aver verificato la presenza della falla sia in IE 6.0 che nella recente IE7 Beta 2 Preview di marzo (build 5335). In realtà, utilizzando il test on-line di Secunia con l'ultima release di IE7, in redazione si sono sperimentati ripetuti crash del browser: al momento del crash, tuttavia, il browser mostrava il corretto URL della pagina visualizzata (e questo anche con la funzione antiphishing disattivata).
A mitigare la pericolosità della debolezza interviene il fatto che nel titolo della finestra del browser, l'URL dei file Flash viene sempre riportato in modo corretto.

In attesa che Microsoft corregga il bug, gli esperti suggeriscono agli utenti di disattivare dalle opzioni del browser l'esecuzione degli script attivi.
50 Commenti alla Notizia In IE uno spiffero pro-phisher
Ordina
  • Ho provato il test online sul sito di Secunia.... e pare che il mio IE6 non sia vulnerabile, in quanto nella barra degli indirizzi vedo l'URL di Secunia....

    Ambiente: WinXP SP2 con tutte le ultime patch, IE6 con tutte le ultime patch; login effettuato come utente (non come administrator); quando clicco sul link del test si apre la pagina di Google con l'indirizzo di Google, dopodiché IE mi chiede 2 volte se voglio esplorare pagine in domini diversi (perché ce l'ho impostato così); rispondo di sì e la pagina cambia in quella di Secunia, e anche l'indirizzo nella barra. Per cui sembrerebbe io non sia vulnerabile, almeno in questa configurazione.

    Altre esperienze?

    Fabio D.
    non+autenticato
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-...

    Firefox 1.5.0.1 allows remote attackers to spoof the address bar and possibly conduct phishing attacks by re-opening the window to a malicious Shockwave Flash application, then changing the window location back to a trusted URL while the Flash application is still loading.

    Ora come la mettiamo?
    non+autenticato
  • 1.0.7 non è vulnerabile.
    non+autenticato

  • - Scritto da: Anonimo
    > http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-
    >
    > Firefox 1.5.0.1 allows remote attackers to spoof
    > the address bar and possibly conduct phishing
    > attacks by re-opening the window to a malicious
    > Shockwave Flash application, then changing the
    > window location back to a trusted URL while the
    > Flash application is still loading.
    >
    > Ora come la mettiamo?

    La mettiamo che hai detto una cazzata, la mia 1.5.0.1 supera il test di secunia senza problemi e mostra sempre l'url secunia
    non+autenticato
  • Confermo. Anche Firefox 1.5 si lascia fregare.

    non+autenticato
  • Il mio no, ho provato ora Perplesso

    Hammeronthenet
    non+autenticato
  • idem
    il mio 1.5.0.1 Non si fa fregare
    non+autenticato
  • Mannaggia!
    Nessuno sa quando e' pronta la versione in Punjabi?
    A bocca aperta A bocca aperta
    non+autenticato
  • Siete sicuri di aver installato correttamente IE7 o che il vostro computer sia sano? Il test non genera crash.
    E come avete detto anche voi, l'URL non viene mascherato in IE7.
    non+autenticato
  • Ho troppa stima per l'intelligenza degli italiani per pensare che ci siano in giro così tanti coglioni che possano usare contro il proprio interesse Internet Explorer.

    .A bocca aperta .
    non+autenticato

  • - Scritto da: Anonimo
    > Ho troppa stima per l'intelligenza degli italiani
    > per pensare che ci siano in giro così tanti
    > coglioni che possano usare contro il proprio
    > interesse Internet Explorer.
    >
    > .A bocca aperta .

    Grande!Ficoso




    ps: ah, quei puntini...A bocca aperta

    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Ho troppa stima per l'intelligenza degli
    > italiani
    > > per pensare che ci siano in giro così tanti
    > > coglioni che possano usare contro il proprio
    > > interesse Internet Explorer.
    > >
    > > .A bocca aperta .
    >
    > Grande!Ficoso
    >
    >
    >
    >
    > ps: ah, quei puntini...A bocca aperta
    >

    .A bocca aperta .
    non+autenticato

  • - Scritto da: Anonimo
    > Ho troppa stima per l'intelligenza degli italiani
    > per pensare che ci siano in giro così tanti
    > coglioni che possano usare contro il proprio
    > interesse Internet Explorer.
    >
    > .A bocca aperta .

    ...se solo avessimo ascoltato il consiglio delle nostre molti non avremmo mai scelto IE...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Ho troppa stima per l'intelligenza degli
    > italiani
    > > per pensare che ci siano in giro così tanti
    > > coglioni che possano usare contro il proprio
    > > interesse Internet Explorer.
    > >
    > > .A bocca aperta .
    >
    (errata corrigeA bocca aperta)
    ...se solo avessimo ascoltato il consiglio delle
    nostre moGLI non avremmo mai scelto IE...
    non+autenticato

  • - Scritto da: Anonimo
    > Ho troppa stima per l'intelligenza degli italiani
    > per pensare che ci siano in giro così tanti
    > coglioni che possano usare contro il proprio
    > interesse Internet Explorer.
    >
    > .A bocca aperta .

    A bocca aperta A bocca aperta A bocca aperta A bocca aperta A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > Ho troppa stima per l'intelligenza degli italiani
    > per pensare che ci siano in giro così tanti
    > coglioni che possano usare contro il proprio
    > interesse Internet Explorer.

    Rotola dal ridereRotola dal ridereRotola dal ridere
    11237

  • - Scritto da: Anonimo
    > Ho troppa stima per l'intelligenza degli italiani
    > per pensare che ci siano in giro così tanti
    > coglioni che possano usare contro il proprio
    > interesse Internet Explorer.
    >
    > .A bocca aperta .

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    TAD
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-...

    Firefox 1.5.0.1 allows remote attackers to spoof the address bar and possibly conduct phishing attacks by re-opening the window to a malicious Shockwave Flash application, then changing the window location back to a trusted URL while the Flash application is still loading.

    Ora come la mettiamo?
    non+autenticato
  • E' già uscito Firefox 1.5.0.2, sveglia!
    non+autenticato
  • yawn, ste news sui bug di exploder sono sempre più noiose, sono decisamente più interessanti quelle sull'update di apple...

    tanto sono appuntamenti periodici entambiA bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > yawn, ste news sui bug di exploder sono sempre
    > più noiose, sono decisamente più interessanti
    > quelle sull'update di apple...
    >
    > tanto sono appuntamenti periodici entambiA bocca aperta

    Se vuoi variare un po, ogni tanto puoi leggerti anche quelle su firefox, ma le devi cercare bene perchè le tengono nascoste, ma ti assicuro che sono le piu divertentiA bocca aperta
  • > Se vuoi variare un po, ogni tanto puoi leggerti
    > anche quelle su firefox, ma le devi cercare bene
    > perchè le tengono nascoste, ma ti assicuro che
    > sono le piu divertentiA bocca aperta

    Nascoste? Bugzilla!A bocca aperta
    non+autenticato

  • - Scritto da: Trollfighter
    >
    > - Scritto da: Anonimo
    > > yawn, ste news sui bug di exploder sono sempre
    > > più noiose, sono decisamente più interessanti
    > > quelle sull'update di apple...
    > >
    > > tanto sono appuntamenti periodici entambiA bocca aperta
    >
    > Se vuoi variare un po, ogni tanto puoi leggerti
    > anche quelle su firefox, ma le devi cercare bene
    > perchè le tengono nascoste, ma ti assicuro che
    > sono le piu divertentiA bocca aperta

    Vai sul sito Secunia così guardi un po' come stanno le cose. Explorer è pieno di falle gravi. Firefox ne ha molte meno e di minore gravità. Opera è quasi a zero.

    Se invece ti va di chiaccherare a vanvera allora diciamo che Prodi è vispo e che Berlusconi è onesto.

    non+autenticato

  • - Scritto da: Anonimo
    > Vai sul sito Secunia

    La differenza fra IE e gli altri browser è che per IE quando esce una falla, viene subito segnalata su tutti i siti, mentre Mozilla e Opera la maggior parte delle volte le falle se le tengono segrete (specie quelle più gravi). Se non credi a quello che dico, controlla sul sito di secunia quando a giorni uscirà Firefox 1.5.0.2 e vedrai comparire come per magia falle corrette di cui prima non si era mai parlato in nessun sito di sicurezza.
    non+autenticato

  • - Scritto da: Anonimo
    > La differenza fra IE e gli altri browser è che
    > per IE quando esce una falla, viene subito
    > segnalata su tutti i siti, mentre Mozilla e Opera
    > la maggior parte delle volte le falle se le
    > tengono segrete (specie quelle più gravi). Se non
    > credi a quello che dico, controlla sul sito di
    > secunia quando a giorni uscirà Firefox 1.5.0.2 e
    > vedrai comparire come per magia falle corrette di
    > cui prima non si era mai parlato in nessun sito
    > di sicurezza.

    per esempio secunia con il rilascio di Firefox 1.5.0.1 ha pubblicato questo bollettino che elenca le falle corrette:
    http://secunia.com/advisories/18700/
    la data è del Release Date: 2006-02-02 che è esattamente un giorno dopo il rilascio di Firefox 1.5.0.1
    come testimoniano i bolletti di sicurezza di Firefox
    http://www.mozilla.org/security/announce/mfsa2006-...
    http://www.mozilla.org/security/announce/mfsa2006-...
    http://www.mozilla.org/security/announce/mfsa2006-...
    http://www.mozilla.org/security/announce/mfsa2006-...
    http://www.mozilla.org/security/announce/mfsa2006-...
    http://www.mozilla.org/security/announce/mfsa2006-...
    http://www.mozilla.org/security/announce/mfsa2006-...
    non+autenticato

  • - Scritto da: Anonimo
    > per esempio secunia con il rilascio di Firefox
    > 1.5.0.1 ha pubblicato questo bollettino che
    > elenca le falle corrette:
    > http://secunia.com/advisories/18700/
    > la data è del Release Date: 2006-02-02 che è
    > esattamente un giorno dopo il rilascio di Firefox
    > 1.5.0.1
    > come testimoniano i bolletti di sicurezza di
    > Firefox
    > http://www.mozilla.org/security/announce/mfsa2006-
    > http://www.mozilla.org/security/announce/mfsa2006-
    > http://www.mozilla.org/security/announce/mfsa2006-
    > http://www.mozilla.org/security/announce/mfsa2006-
    > http://www.mozilla.org/security/announce/mfsa2006-
    > http://www.mozilla.org/security/announce/mfsa2006-
    > http://www.mozilla.org/security/announce/mfsa2006-

    morale della favola: troppo comodo tenersi strette le falle e pubblicarle solo dopo che è uscita la successiva versione
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > per esempio secunia con il rilascio di Firefox
    > > 1.5.0.1 ha pubblicato questo bollettino che
    > > elenca le falle corrette:
    > > http://secunia.com/advisories/18700/
    > > la data è del Release Date: 2006-02-02 che è
    > > esattamente un giorno dopo il rilascio di
    > Firefox
    > > 1.5.0.1
    > > come testimoniano i bolletti di sicurezza di
    > > Firefox
    > >
    > http://www.mozilla.org/security/announce/mfsa2006-
    > >
    > http://www.mozilla.org/security/announce/mfsa2006-
    > >
    > http://www.mozilla.org/security/announce/mfsa2006-
    > >
    > http://www.mozilla.org/security/announce/mfsa2006-
    > >
    > http://www.mozilla.org/security/announce/mfsa2006-
    > >
    > http://www.mozilla.org/security/announce/mfsa2006-
    > >
    > http://www.mozilla.org/security/announce/mfsa2006-
    >
    > morale della favola: troppo comodo tenersi
    > strette le falle e pubblicarle solo dopo che è
    > uscita la successiva versione

    Ma non era M$ a sostenere la security by obscurity... Evidentemente era marketing anche quello.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Vai sul sito Secunia
    >
    > La differenza fra IE e gli altri browser è che
    > per IE quando esce una falla, viene subito
    > segnalata su tutti i siti, mentre Mozilla e Opera
    > la maggior parte delle volte le falle se le
    > tengono segrete (specie quelle più gravi). Se non
    > credi a quello che dico, controlla sul sito di
    > secunia quando a giorni uscirà Firefox 1.5.0.2 e
    > vedrai comparire come per magia falle corrette di
    > cui prima non si era mai parlato in nessun sito
    > di sicurezza.

    e poi c'era la mormotta che confezionava la cioccolata
    non+autenticato
  • Che spettacolo...
    L'ho letta ora e mi sto piegando... Fortissima!!!!!

    >
    > e poi c'era la mormotta che confezionava la
    > cioccolata
    non+autenticato

  • > Vai sul sito Secunia così guardi un po' come
    > stanno le cose. Explorer è pieno di falle gravi.
    > Firefox ne ha molte meno e di minore gravità.
    > Opera è quasi a zero.

    non ve ne sono per opera da fine scorso anno.. ed in generale ne esponeva in media meno degli altri.
    poi opera é veloce e stabile. mai morto e mai strani comportamenti.

    mi trovo soddisfattissimo.


    > Se invece ti va di chiaccherare a vanvera allora
    > diciamo che Prodi è vispo e che Berlusconi è
    > onesto.
    >