In IE7 una debolezza pro-phisher

Secunia sostiene che una caratteristica di Internet Explorer 7 potrebbe essere sfruttata dai phisher per rendere più credibili certe truffe online

Roma - La nota società di sicurezza Secunia ha segnalato ieri una debolezza di Internet Explorer 7 che, seppure ritenuta di basso rischio, potrebbe essere sfruttata da malintenzionati per lanciare attacchi di phishing.

"Il problema è causato dalla possibilità di visualizzare una finestra pop-up che, nella barra dell'URL, contiene un indirizzo parzialmente mascherato", ha spiegato Secunia in questo advisory.

Per ottenere questo effetto, e aprire una finestra in cui l'URL è visibile solo in parte, un aggressore non deve far altro che aggiungere ad un indirizzo Web determinati caratteri.
Secunia ha approntato un test, disponibile qui, con cui è possibile verificare il problema. Il pop-up si apre anche con Firefox 2: la differenza è che mentre Firefox visualizza solo il contenuto della finestra, IE7 mostra sulla parte superiore una piccola barra degli URL con un indirizzo contraffatto. Indirizzo che potrebbe far credere ad un utente di trovarsi su di un sito a lui noto: nell'esempio di Secunia, microsoft.com.

L'inganno è però effimero: basta infatti un clic sulla finestra per rivelare l'indirizzo completo, che nel caso del test di Secunia è http://secunia.com/result_22542/? http://www.microsoft.com.

Va detto che alcuni esperti non cosndierano il problema una vera e propria vulnerabilità, ma un "modo malizioso" per utilizzare certe funzionalità di IE7.
70 Commenti alla Notizia In IE7 una debolezza pro-phisher
Ordina
  • "Va detto che alcuni esperti non cosndierano il problema una vera e propria vulnerabilità, ma un "modo malizioso" per utilizzare certe funzionalità di IE7"

    LOL... This is not a bug, it's a feature.
    non+autenticato
  • è assolutamente ovvio che ie7, meglio noto alle masse come "the new exploder", non dovrebbe essere installato, comunque, se volete... Occhiolino
    non+autenticato

  • - Scritto da:
    > è assolutamente ovvio che ie7, meglio noto alle
    > masse come "the new exploder", non dovrebbe
    > essere installato, comunque, se volete...
    >Occhiolino

    sempre meglio che quella groviera di firefox, che si trascina i bugs da una versione all'altra
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > è assolutamente ovvio che ie7, meglio noto alle
    > > masse come "the new exploder", non dovrebbe
    > > essere installato, comunque, se volete...
    > >Occhiolino
    >
    > sempre meglio che quella groviera di firefox, che
    > si trascina i bugs da una versione
    > all'altra

    esiste anche Opera sai.
    non+autenticato
  • esatto, esiste anche opera, e non mi pare proprio na ciofeca Ficoso
    non+autenticato

  • - Scritto da:
    > sempre meglio che quella groviera di firefox, che
    > si trascina i bugs da una versione
    > all'altra

    Be', a Microsoft basta *negare* l'esistenza di bug e vulnerabilità ed ha risolto in fretta.

    Gli altri browser cercano di *risolvere* i problemi ...

    A bocca aperta
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > è assolutamente ovvio che ie7, meglio noto alle
    > > masse come "the new exploder", non dovrebbe
    > > essere installato, comunque, se volete...
    > >Occhiolino
    >
    > sempre meglio che quella groviera di firefox, che
    > si trascina i bugs da una versione
    > all'altra

    È vero, MS se non altro si modernizza e ne crea continuamente di nuovi.
  • Opera non e' affetto dal problema segnalato: appena verificato.

    E meno male che IE7 doveva essere la soluzione finale contro tutto il phishing della rete.

    non+autenticato

  • - Scritto da:
    > Opera non e' affetto dal problema segnalato:
    > appena
    > verificato.

    ti mostra il pop-up senza barra indirizzi o con la barra indirizzi? Se te lo mostra senza barra indirizzi allora si fa ingannare
    non+autenticato
  • In effetti non si capisce come gli sia venuta al programmatore di far vedere la parte finale dell'URL, invece che quella iniziale, nelle pop-up!

    Cmq si rimedia in 3 minuti netti, cambiando due righe (quasi letteralmente) di codice...

  • - Scritto da: Ekleptical
    > In effetti non si capisce come gli sia venuta al
    > programmatore di far vedere la parte finale
    > dell'URL, invece che quella iniziale, nelle
    > pop-up!

    si ma comunque il problema è inesistente sai perchè? Perchè ti basta fare il focus sulla pagina del pop-up perchè l'url completo ti compaia. E infatti lo scopo di imitare un sito è quello di spingerti a immettere informazioni nella pagina contenuta in quel pop-up per poi ribartele, ma il bello è che appena clicki sulla pagina per iniziare a scrivere qualcosa tipo i tuoi dati o la tua password, vedi comparire l'URL perchè il focus si sposta dalla URL alla pagina e l'inganno viene svelato immediatamente. Quindi a mio avviso la vulnerabilità è inesistente, semmai è un bug.
    Invece Firefox 2.0 NON ha uno straccio di protezione e permette di nascondere la barra degli indirizzi e quindi una pagina in un pop-up priva di barra indirizzi che imita un altro sito frega IMMEDIATAMENTE un utonto, mentre in IE7 la barra indirizzi NON può essere mai nascosta.

    Saluti da P4
    non+autenticato
  • già aperto il bug su bugzilla?
    non+autenticato
  • Bella stronzata quella di nn poter nascondere la barra degli indirizzi.
    io su safari non la uso avendo a disposizione qualche punto percentuale di visualizzazione in piu'.. eppure nn ho il problema di explorer.. e non lo avrei se utilizzassi firefox.
    quindi e' semplicemente un browser che va incontro alle esigenze di molti utenti ignorandole. grande.
    - Scritto da:
    >
    > - Scritto da: Ekleptical
    > > In effetti non si capisce come gli sia venuta al
    > > programmatore di far vedere la parte finale
    > > dell'URL, invece che quella iniziale, nelle
    > > pop-up!
    >
    > si ma comunque il problema è inesistente sai
    > perchè? Perchè ti basta fare il focus sulla
    > pagina del pop-up perchè l'url completo ti
    > compaia. E infatti lo scopo di imitare un sito è
    > quello di spingerti a immettere informazioni
    > nella pagina contenuta in quel pop-up per poi
    > ribartele, ma il bello è che appena clicki sulla
    > pagina per iniziare a scrivere qualcosa tipo i
    > tuoi dati o la tua password, vedi comparire l'URL
    > perchè il focus si sposta dalla URL alla pagina e
    > l'inganno viene svelato immediatamente. Quindi a
    > mio avviso la vulnerabilità è inesistente, semmai
    > è un
    > bug.
    > Invece Firefox 2.0 NON ha uno straccio di
    > protezione e permette di nascondere la barra
    > degli indirizzi e quindi una pagina in un pop-up
    > priva di barra indirizzi che imita un altro sito
    > frega IMMEDIATAMENTE un utonto, mentre in IE7 la
    > barra indirizzi NON può essere mai
    > nascosta.
    >
    > Saluti da P4
    non+autenticato
  • - Scritto da:
    > Invece Firefox 2.0 NON ha uno straccio di
    > protezione e permette di nascondere la barra
    > degli indirizzi e quindi una pagina in un pop-up
    > priva di barra indirizzi che imita un altro sito
    > frega IMMEDIATAMENTE un utonto, mentre in IE7 la
    > barra indirizzi NON può essere mai
    > nascosta.
    > Saluti da P4

    Chissa' perche' Secunia ha segnalato il bug per IE7 e NON per FF2? E' meglio se gli scrivi subito e li avvisi della cantonata presa magari chiedendogli di complimentarsi con te per il tuo eccezionale fiuto nello scovare a prima vista il bug su FF....Complimenti!

    LV&P Angioletto
  • ...allora è OK, è una feature...

    mahhh...

    non+autenticato
  • - Scritto da:

    > ...allora è OK, è una feature...
    >
    > mahhh...

    Firefox visualizza http://secunia.com


  • - Scritto da: HotEngine
    > Firefox visualizza http://secunia.com

    NO. Firefox permette ad un pop-up o a una qualsiasi nuova finestra di nascondere la barra degli indirizzi via codice mentre in IE7 la barra indirizzi NON può essere nascosta. Nel test di secunia quindi il pop-up con Firefox appare senza barra indirizzi e quindi se il pop-up contene una pagina che imita un altro sito, sei fregato.
    non+autenticato
  • - Scritto da:
    > - Scritto da: HotEngine
    > > Firefox visualizza http://secunia.com

    > NO. Firefox permette ad un pop-up o a una
    > qualsiasi nuova finestra di nascondere la barra
    > degli indirizzi via codice mentre in IE7 la
    > barra indirizzi NON può essere nascosta. Nel
    > test di secunia quindi il pop-up con Firefox
    > appare senza barra indirizzi e quindi se il
    > pop-up contene una pagina che imita un altro
    > sito, sei fregato.

    Guarda che nei settaggi puoi specificare tutto quello che vuoi permettere ai siti: se permettere di nascondere la barra o meno, se puo' ridimensionare il browser o meno, se spostare il browser o meno... Tutto.
    non+autenticato

  • - Scritto da:
    > Guarda che nei settaggi puoi specificare tutto
    > quello che vuoi permettere ai siti: se permettere
    > di nascondere la barra o meno

    si ma di default FF 2.0 permette ai siti di nascondere la barra informativa, mentre in IE7 di default non permette di nasconderla. E' il comportamento a default quello più pericoloso, per gli UTONTI.

    Saluti da P4
    non+autenticato

  • - Scritto da:
    > Guarda che nei settaggi puoi specificare tutto
    > quello che vuoi permettere ai siti: se permettere
    > di nascondere la barra o meno

    si ma di default FF 2.0 permette ai siti di nascondere la barra degli URL, mentre in IE7 di default non permette di nasconderla. E' il comportamento a default quello più pericoloso, per gli UTONTI.

    Saluti da P4
    non+autenticato
  • poi dove sta l'opzione in FF 2.0 fare in modo che un sito non ti possa nascondere la barra indirizzi? Non mi pare che esista in Firefox. In IE7 invece di default la barra indirizzi non può essere nascosta.

    Saluti da P4
    non+autenticato
  • - Scritto da:
    > poi dove sta l'opzione in FF 2.0 fare in modo
    > che un sito non ti possa nascondere la barra
    > indirizzi? Non mi pare che esista in Firefox.
    > In IE7 invece di default la barra indirizzi
    > non può essere nascosta.
    > Saluti da P4

    Nel 1.5.0.7 : opzioni -> contenute -> avanzate puoi disabilitare tutte le capacita' java e javascript, sai che e' un java vero il problema ?
    non+autenticato

  • - Scritto da:
    > Nel 1.5.0.7 : opzioni -> contenute -> avanzate
    > puoi disabilitare tutte le capacita' java e
    > javascript

    fai prima a spegnere il PC se devi disabilitare javascript.
    non+autenticato

  • - Scritto da:
    > sai che e' un java vero il problema
    > ?

    java NON è javascript
    non+autenticato

  • - Scritto da:
    > Nel 1.5.0.7 : opzioni -> contenute -> avanzate
    > puoi disabilitare tutte le capacita' java e
    > javascript

    peccato che manchi la voce per evitare che un sito ti nasconda la barra indirizzi... Ora puoi andare.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)