Alfonso Maruccia

Internet Explorer, nuova falla XSS

IE risulta bucato, e questa volta si tratta di una vulnerabilitÓ XSS. Coinvolte le versioni aggiornate del browser Microsoft su sistema operativo Windows 7. Una patch Ŕ in corso di sviluppo

Roma - Il ricercatore David Leo ha recentemente individuato una nuova vulnerabilità di sicurezza su Internet Explorer, browser che può essere (ab)usato per condurre pericolosi attacchi di Cross-Site Scripting (XSS) contro siti Web ad alto livello di popolarità.

Come spiegato da Leo nella pagina dimostrativa, grazie al nuovo bug un malintenzionato può teoricamente "rubare qualsiasi cosa" da un altro dominio e inserire codice in un dominio esterno. Il baco è stato testato sulla versione più recente di Internet Explorer 11 su OS Windows 7.
La vulnerabilità di Cross-Site Scripting "universale" è una minaccia concreta e pericolosa, avvertono i ricercatori, e anche le misure di sicurezza aggiuntive come Same Origin Policy (SOP) e Content Security Policy possono essere bypassate.

Microsoft, informata nel mese di ottobre, è a conoscenza del problema in IE, e sarebbe al lavoro su una patch correttiva. Tutto sta ora a ipotizzare quando la patch verrà effettivamente rilasciata al pubblico, se a Redmond aspetteranno il tradizionale Patch Tuesday del secondo martedì del mese o si affretteranno i tempi.
La questione dei tempi di distribuzione degli update per vulnerabilità di sicurezza si è fatta spinosa, ultimamente, soprattutto a causa di Google e della policy del suo Project Zero, che prevede la pubblicazione dei dettagli delle falle scaduti i 90 giorni da quando il soggetto vulnerabile è stato informato. Inutile dirlo, tra le "vittime" principali del nuovo regime si conta proprio Microsoft.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle e la guerra delle vulnerabilitàMountain View continua a pubblicare dettagli sulle vulnerabilitÓ di sicurezza nel software altrui, in un programma di disclosure che non salva nessuno: ora Ŕ la volta di Apple. Quando la falla Ŕ di Google, i tempi di aggiornamento sono relativamente brevi
20 Commenti alla Notizia Internet Explorer, nuova falla XSS
Ordina