Vulnerabili i siti di Cisco, Hotmail e Oracle

Tutti e tre i siti Web sono vulnerabili, secondo una nota società di sicurezza, ad un tipo di vulnerabilità che, in certe circostanze, può mettere a repentaglio la privacy e la sicurezza degli utenti

New York (USA) - Quella categoria di vulnerabilità di sicurezza nota con il nome di Cross-Site Scripting (CSS) sembra riconfermarsi una delle insidie più temibili per il Web, soprattutto perché non risparmia siti anche molto celebri e visitati.

I CSS sono falle che in genere non mettono a repentaglio la sicurezza dei server su cui gira il sito, quanto quella degli utenti che li visitano: attraverso questo tipo di falle un cracker può infatti essere in grado di rubare password, numeri di carte di credito, cookie ed altri dati sensibili.

Questo è un rischio che in passato hanno corso gli utenti di alcuni fra i siti più famosi al mondo, come quelli di AOL, Ebay, MSN, Excite e Lycos, e che oggi sembra affliggere nuovamente tre risorse di grosso calibro: i siti di Cisco, Oracle e Hotmail.
SecuriTeam.com, la società di sicurezza che ha scoperto le vulnerabilità, sostiene che sia nel caso di Oracle che di Cisco la falla può essere sfruttata da un aggressore per reindirizzare l'ignaro utente verso script Java o codice HTML di terze parti: il tutto senza che l'utente si accorga di aver eseguito oggetti estranei al sito che sta visitando in quel momento.

Il rischio più grosso è che un cracker possa sfruttare la falla per rubare i dati con cui gli utenti accedono alle parti riservate dei siti vulnerabili. Secondo SecuriTeam.com, il sito di Cisco potrebbe ad esempio permettere ad un aggressore di piazzare ordini a nome di un altro utente o di scaricare una versione del sistema operativo IOS normalmente non disponibile al pubblico. C'è però da dire che questo tipo di attacchi sono in genere molti difficili da portare a compimento e richiedono skill tecnici non comuni.

Per quanto riguarda Hotmail, la nuova falla di tipo CSS scoperta da SecuriTeam.com riguarda la possibilità, per un aggressore, di inserire script Java malevoli all'interno delle e-mail HTML: questo potrebbe consentire al cracker di infiltrarsi su di un dato account di Web-mail ospitato sul popolare servizio di Microsoft.

SecuriTeam.com riporta che solo Oracle, al momento, avrebbe corretto la falla.
TAG: sicurezza
3 Commenti alla Notizia Vulnerabili i siti di Cisco, Hotmail e Oracle
Ordina
  • I colossi Cisco ed Oracle che cadono con una cosa del genere? Non è il primo sentore di mancanza di sicurezza...

    Le cose solide non ci sono + Sorride
    non+autenticato

  • - Scritto da: Anonimo
    > I colossi Cisco ed Oracle che cadono con una
    > cosa del genere? Non è il primo sentore di
    > mancanza di sicurezza...
    >
    > Le cose solide non ci sono + Sorride

    L'importante e' la tempestivita' con cui i problemi vengono corretti.
    A quanto pare solo in un caso su tre la cosa e' stata ritenuta importante.

    duh!
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > I colossi Cisco ed Oracle che cadono con
    > una
    > > cosa del genere? Non è il primo sentore di
    > > mancanza di sicurezza...
    > >
    > > Le cose solide non ci sono + Sorride
    >
    > L'importante e' la tempestivita' con cui i
    > problemi vengono corretti.
    > A quanto pare solo in un caso su tre la cosa
    > e' stata ritenuta importante.

    il discorso e' che che con gli XSS (e non CSS come riporta erroneamente l'articolo, acronimo che genera confusione con i Cascading Style Sheet) la sicurezza del sito non e' intaccata e pochi amministratori si prendono la briga di fixare codice che non danneggia direttamente il server, e' naturale pensare che se i siti Oracle, Cisco ecc.. sono vulnerabili agli XSS probabilmente lo sono anche il 100% dei programmini php ed asp ed e' (guardacaso) cosi'.. ci sono talmente tanti siti / programmi vulnerabili che ho dovuto mettere un filtro alle mailing list di sicurezza perche' questo genere di messaggi superavano la quantita' di spam che giornalmente ricevo (ed e' tanta)

    Mela Marcia (c)