22 milioni le Web-email a rischio?

Un buco nei sistemi di Critical Path, da cui dipende l'email online di ICQ, AltaVista e altri può costituire un problemone per numerosissimi account di posta elettronica

Web - Dopo 30 giorni dalla segnalazione del buco nei suoi sistemi di posta elettronica, Critical Path non ha ancora reagito ufficialmente, al punto da spingere chi ha individuato quelle falle a diffondere la notizia attraverso Bugtraq, la mailing list internazionale dedicata alla sicurezza. Il problema è grosso, perché si calcola che siano 22 milioni gli utenti internet che sfruttano, attraverso diversi fornitori, la posta via web di Critical Path.

Tra i servizi che chi ha scoperto il bug ritiene "a rischio sicurezza" vi sono certi sistemi AltaVista, ICQ, US West, Network Solutions e CompuServe. Il bug consente ad un aggressore di prendere possesso dell'account di posta della "vittima", di leggere le email, di cancellarle e di inviarle.

Secondo Jeffrey W. Baker, che ha scoperto il bug, il problema è grave perché non basta cambiare password per difendersi: "Una volta attaccati non si può più riprendere possesso del proprio account. Si può solo aprirne uno nuovo".
L'attacco sfrutta una vulnerabilità di browsing già nota e in pratica si basa sul "furto" del cookie che i sistemi lanciano sul computer dell'utente all'apertura della sessione di lavoro con i propri servizi email. Baker ha spiegato che per rubare il cookie è sufficiente inserire un JavaScript in una email HTML o in una immagine acclusa all'email e inviarla all'utente-vittima. A quel punto lo scriptino sarà pronto per attivarsi al momento giusto e inviare all'aggressione il cookie. Una volta sottratto il cookie, l'aggressore ha il via libera nell'account.

Nelle ore in cui il bug è emerso sulla stampa, Critical Path ha finalmente reagito sostenendo di aver iniziato a lavorare sul problema appena ha saputo del buco e spiegando che verrà presto rilasciata una soluzione.

Baker ha spiegato che anche in questa occasione, per evitare "sorprese", almeno fino alla release della patch da parte di Critical Path, gli utenti possono disabilitare le capacità di JavaScript nel proprio browser.
TAG: sicurezza