Roberto Pulito

Internet Explorer, identitÓ servite?

Scoperta una vulnerabilitÓ che consente di rubare le informazioni personali registrate nei cookie, a prescindere dalla versione del browser o dal tipo di Windows. Microsoft rassicura

Roma - Ferve l'interesse intorno a Internet Explorer e alle insidie tutte nuove legate al "cookie hijacking". Il ricercatore di sicurezza Rosario Valotta ha ora reso di pubblico dominio un bug segnalato a Microsoft già dallo scorso gennaio, che sembra coinvolgere tutte le versioni del browser.

La vulnerabilità in questione permetterebbe di appropriarsi delle credenziali dei naviganti registrate nei file cookie sul PC. Il sistema, secondo Valotta, funziona su tutte le versioni di Windows e può essere potenzialmente utilizzato con tutti quei siti che richiedono l'inserimento di password e username.

Per la precisione, la tecnica del cookie hijacking esige una certa collaborazione dell'utente che dovrà, ad esempio, trascinare un oggetto su una pagina web "modificata". Per dimostrare il funzionamento della minaccia Vallotta ha infatti creato un puzzle game postato su Facebook: solo giocando con questi contenuti-trappola si consente al malintenzionato di arrivare ai cookie della sessione in corso.
Secondo Microsoft non stiamo parlando di una vulnerabilità grave, proprio perché è richiesta anche l'interazione da parte della "vittima", rispetto ad una esecuzione di codice remoto automatica, ma il ricercatore italiano dichiara di aver "rubato" 80 cookie in soli tre giorni ai suoi 150 amici di Facebook.
Molto probabilmente un cerotto riparatore arriverà con gli aggiornamenti di Internet Explorer previsti tra giugno e agosto.
Nel frattempo la pagina di Valotta con il report e i test non è più raggiungibile.

Roberto Pulito
Notizie collegate
  • SicurezzaIl giorno zero di IEMicrosoft conferma una nuova minaccia zero day per la sicurezza di Internet Explorer. A finire sotto accusa Ŕ sempre la gestione dei fogli di stile CSS
  • SicurezzaMicrosoft e Google, il bug della discordiaQuel che sembra certo Ŕ che Internet Explorer sia vittima di un altro caso di vulnerabilitÓ zero-day. Resta da capire chi lo abbia scoperto, e se i dettagli siano finiti in mani (cinesi) sbagliate
25 Commenti alla Notizia Internet Explorer, identitÓ servite?
Ordina