Grossa minaccia per le Web-mail

Una falla di sicurezza scoperta nei servizi di posta elettronica Web-based di Microsoft e Yahoo! potrebbe mettere a repentaglio la sicurezza di milioni di utenti. A rischio anche altri servizi analoghi

Tel Aviv (Israele) - I servizi di e-mail su Web forniti da Yahoo! e Microsoft soffrono di un problema di sicurezza che, sui PC in cui gira Internet Explorer, potrebbe consentire l'esecuzione automatica di script malevoli.

L'allarme arriva da GreyMagic, una società di sicurezza israeliana che, in questo advisory, ha spiegato come Yahoo! Mail e Hotmail siano vulnerabili, se utilizzati congiuntamente ad Internet Explorer, ad un nuovo metodo per incapsulare del codice eseguibile all'interno di una e-mail HTML. Questo metodo, che secondo GreyMagic potrebbe essere utilizzato per aggirare le protezioni di sicurezza anche di altri servizi di Web-mail, può consentire ad un aggressore di prendere il controllo di un PC o accedere alla mailbox di un utente.

La vulnerabilità trae vantaggio dall'implementazione della specifica HTML+TIME di Internet Explorer, uno standard del W3C basato sul linguaggio SMIL (Synchronized Multimedia Integration Language) e utilizzata per aggiungere alle pagine HTML il supporto al sincronismo. La falla, pur non trovandosi nel browser di Microsoft, si verifica solo con IE a causa del fatto che quest'ultimo accetta, per la dichiarazione di namespace XML, una sintassi alternativa a quella standard che non viene correttamente filtrata dalle Web-mail di Yahoo! e Microsoft.
Grazie alla collaborazione con GreyMagic, Microsoft ha fatto sapere di aver già coretto il problema in Hotmail. Yahoo! ha invece detto che applicherà un fix "in tempi brevissimi", probabilmente già in queste ore.

La vulnerabilità legata a HTML+TIME viene classificata dagli esperti fra le cosiddette falle "cross-site scripting", la più grande minaccia per i Web service e i siti di e-commerce.
TAG: sicurezza
15 Commenti alla Notizia Grossa minaccia per le Web-mail
Ordina
  • ☺quando scarico la posta, su alcuni messaggi mi appare questa scritta «è stato rimosso l'accesso a quest'allegato perché considerato non sicuro». Io non mi ricordo d'aver mai settato i file pdf come non sicuri.
    Non posso nemmeno prelevarli dal server mail, perché scaricandoli sul mio pc li ho automaticamente cancellati anche dal server stesso.
    Dunque, come posso fare per disattivare questa fastidiosa rimozione dell'accesso agli alligati ???
    Altrimenti, c'è un programma che non mi fa questo scherzo?

    non+autenticato
  • - Scritto da: Anonimo
    > Altrimenti, c'è un programma che non
    > mi fa questo scherzo?

    Scarica Mozilla Thunderbird e la vita ti sorridera'
    http://www.mozilla.org/projects/thunderbird/
    ☺☺☺☺☺☺☺☺☺
    non+autenticato
  • E' una impostazione di Outlook Express 6. Vado a memoria, mi pare stia sotto strumenti -> opzioni -> protezione. Togli la spunta alla casella "non consentire apertura o salvataggio di allegati che potrebbero contenere virus".

    Sempre a memoria ricordo che da qualche altra parte esistono delle regole di controllo dei mex in entrata.

    Cmq, fai uno sforzettino, e cambia client di posta ... da retta ad uno scemo.

    non+autenticato
  • io ho una casella su Yahoo.

    Ma tanto il problema riguarda solo quei 4 gatti che si ostinano a usare MSIEA bocca aperta
    SiN
    1120

  • - Scritto da: SiN
    > io ho una casella su Yahoo.
    >
    > Ma tanto il problema riguarda solo quei 4
    > gatti che si ostinano a usare MSIEA bocca aperta

    Pure io. Dal titolo avevo capito che ci fosse qualche vulnerabilita' sui loro server, e invece e' la solita zuppa...

    Si arrangiassero.
    non+autenticato

  • - Scritto da: SiN
    > io ho una casella su Yahoo.
    >
    > Ma tanto il problema riguarda solo quei 4
    > gatti che si ostinano a usare MSIEA bocca aperta

    4 gatti?
    Tipo l'83% ?

    http://www.w3schools.com/browsers/browsers_stats.a...

    2004     IE 6     IE 5     O 7     Moz     NN 3     NN 4     NN 7
    March     71.8%     11.2%     2.1%     9.6%     0.4%     0.4%     1.4%


    3518
  • Io non ne andrei molto fiero...
    In fondo il problema nasce ancora una volta per IE, o è una falla sua o una falla causata dal browser di Microsoft... Per fortuna che esistono prodotti come Mozilla.

    Comunque grazie per il link che hai fornito... io guarderei la tendenza degli utlimi tempi....
    Da gennaio a marzo:
    Opera rimane costante
    IE6 cresce di 0,5
    IE5 perde 1,6
    Mozilla cresce di 1,4

    E perchè non ho preso in considerazione le percentuali fin dal 2003... Per fortuna sempre più persone cominciano a rendersi conto della groviera che hanno usato finora.

    Ciao ciao
    non+autenticato

  • - Scritto da: Anonimo
    > Io non ne andrei molto fiero...

    E chi ne va fiero, io uso Firefox...

    > In fondo il problema nasce ancora una volta
    > per IE, o è una falla sua o una falla
    > causata dal browser di Microsoft... Per
    > fortuna che esistono prodotti come Mozilla.
    >
    > Comunque grazie per il link che hai
    > fornito... io guarderei la tendenza degli
    > utlimi tempi....
    > Da gennaio a marzo:
    > Opera rimane costante
    > IE6 cresce di 0,5
    > IE5 perde 1,6
    > Mozilla cresce di 1,4
    >
    > E perchè non ho preso in
    > considerazione le percentuali fin dal
    > 2003... Per fortuna sempre più
    > persone cominciano a rendersi conto della
    > groviera che hanno usato finora.
    >

    La somma degli IE e' comunque da anni sopra l'80% mentre quello che guadagna Mozilla deriva dai cali di Netscape. Quando Netscape arrivera' a 0, Mozilla riuscira' a rosicare utenti a IE?

    3518
  • Mah, veramente da gennaio IE ha perso 1,1, mentre NN (sempre nella somma delle versioni ancora in circolazione) ha perso lo 0,2 ... il guadagno di Mozilla è stato di 1,4... 1,1(IE) + 0,2 (NN) + 0,1...
    E' vero che IE è da anni sopra quota 80%, ma a gennaio 2002 era all'87,7% ed ora è all'83% ... che il suo dominio sia in crisi? Io spero tanto di sì.

    Ciao

    PS. ovviamente non voglio fare nessuna polemica...
    non+autenticato

  • - Scritto da: Anonimo
    > Mah, veramente da gennaio IE ha perso 1,1,
    > mentre NN (sempre nella somma delle versioni
    > ancora in circolazione) ha perso lo 0,2 ...
    > il guadagno di Mozilla è stato di
    > 1,4... 1,1(IE) + 0,2 (NN) + 0,1...
    > E' vero che IE è da anni sopra quota
    > 80%, ma a gennaio 2002 era all'87,7% ed ora
    > è all'83% ... che il suo dominio sia
    > in crisi? Io spero tanto di sì.
    >
    > Ciao
    >
    > PS. ovviamente non voglio fare nessuna
    > polemica...

    Alla fine avresti dovuto dargli ragione, e comunque non l'hai fatto. Si tratta dello 83%... In aumento o in diminuizione, è sempre la fetta maggiore! Definirla "4 gatti" (questo non so se l'hai detto tu, ad ogni modo "cito") è una grossa cazzata. Se fosse usata davvero da pochi utenti, la gente se ne sbatterebbe di cercare falle e di creare virus che le sfruttino: che senso avrebbe creare un virus capace di "contaminare" 4 pc e basta?
    Cmq, dopo anni di sudditanza a IE... viva Mozilla FireFox!!!
    non+autenticato
  • visto che il bug è di IE e non delle webmailA bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > visto che il bug è di IE e non delle
    > webmailA bocca aperta

    Risultato della MIcrosoftEducation
    I guai li creiamo noi ma i problemi li devono risolvere gli altri.
    Comodino comodino
  • A NON seguire gli standard?

    "La falla, pur non trovandosi nel browser di Microsoft, si verifica solo con IE a causa del fatto che quest'ultimo accetta, per la dichiarazione di namespace XML, una sintassi alternativa a quella standard che non viene correttamente filtrata dalle Web-mail di Yahoo! e Microsoft."

    DURI ehhh.... (microsoft e i suoi utonti)
  • Massì..... hanno scoperto l'acqua calda!!!

  • Non era acqua ...A bocca aperta
    4724