Alessandro Del Rosso

IE8 inciampa sul cross-sites scripting

Microsoft ha pianificato una nuova patch per Internet Explorer che corregge una vulnerabilitÓ nel filtro XSS. Un componente che negli scorsi mesi ha giÓ dato a Redmond diversi grattacapi

Roma - Per la terza volta nel giro di pochi mesi Microsoft si appresta a modificare il filtro XSS di Internet Explorer 8, una sorta di setaccio concepito per bloccare i comandi utilizzati nei più comuni attacchi di tipo cross-site scripting (XSS).

La nuova modifica, che farà parte degli aggiornamenti di giugno, dovrebbe correggere una seria vulnerabilità nell'XSS Filter portata alla luce da alcuni ricercatori presso la recente Black Hat Security Conference di Barcellona. Come spiegato in questo post del Microsoft Security Response Center Blog (MSRC), tale debolezza potrebbe essere utilizzata da un aggressore per rendere possibili attacchi cross-site scripting anche contro quei siti che non sarebbero altrimenti vulnerabili.

"In gennaio (MS10-002) e ancora in marzo (MS10-018) abbiamo intrapreso alcuni passi per mitigare questa categoria di minacce, e un altro grande passo in questo senso lo faremo il prossimo giugno" si legge nel succitato post di David Ross, ricercatore presso il MSRC. "Nonostante tutto, continuiamo a sostenere l'importanza di utilizzare un browser con un filtro XSS, questo perché i benefici derivanti da questa forma di protezione superano in molti casi i rischi legati alle vulnerabilità (introdotte dal filtro stesso, ndr)".
In Firefox una forma di protezione simile a quella offerta dall'XSS Filter di IE8, ma più potente e flessibile, viene fornita dal famoso add-on NoScript. Anche Mozilla si è attivata nella lotta contro i famigerati attacchi XSS implementando, in alcune release sperimentali di Firefox, la specifica Content Security Policy. A differenza di XSS Filter e NoScript, CSP fornisce a sviluppatori web e webmaster la possibilità di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web.

Alessandro Del Rosso
Notizie collegate
  • SicurezzaInternet Explorer e le patch extra di primaveraMicrosoft ha pubblicato un bollettino straordinario che corregge 10 serie vulnerabilitÓ di IE. Tra le quali una giÓ pubblica e sfruttata in diversi attacchi. Ancora sotto indagine la debolezza di IE8 mostrata al Pwn2Own
  • AttualitàApache sotto attaccoI cracker hanno preso d'assalto l'infrastruttura telematica della fondazione installando codice malevolo e rubando password. Ignote le motivazioni, salvo il repository
  • SicurezzaMozilla forgia uno scudo antiXSSInserito all'interno di alcune versioni preliminari di Firefox, promette di difendere l'utente dagli attacchi Cross-Site Scripting, frequentemente usati per rubare dati sensibili e disseminare virus
21 Commenti alla Notizia IE8 inciampa sul cross-sites scripting
Ordina