Tel Aviv (Israele) – I servizi di e-mail su Web forniti da Yahoo! e Microsoft soffrono di un problema di sicurezza che, sui PC in cui gira Internet Explorer, potrebbe consentire l’esecuzione automatica di script malevoli.
L’allarme arriva da GreyMagic, una società di sicurezza israeliana che, in questo advisory , ha spiegato come Yahoo! Mail e Hotmail siano vulnerabili, se utilizzati congiuntamente ad Internet Explorer, ad un nuovo metodo per incapsulare del codice eseguibile all’interno di una e-mail HTML. Questo metodo, che secondo GreyMagic potrebbe essere utilizzato per aggirare le protezioni di sicurezza anche di altri servizi di Web-mail, può consentire ad un aggressore di prendere il controllo di un PC o accedere alla mailbox di un utente.
La vulnerabilità trae vantaggio dall’implementazione della specifica HTML+TIME di Internet Explorer, uno standard del W3C basato sul linguaggio SMIL (Synchronized Multimedia Integration Language) e utilizzata per aggiungere alle pagine HTML il supporto al sincronismo. La falla, pur non trovandosi nel browser di Microsoft, si verifica solo con IE a causa del fatto che quest’ultimo accetta, per la dichiarazione di namespace XML, una sintassi alternativa a quella standard che non viene correttamente filtrata dalle Web-mail di Yahoo! e Microsoft.
Grazie alla collaborazione con GreyMagic, Microsoft ha fatto sapere di aver già coretto il problema in Hotmail. Yahoo! ha invece detto che applicherà un fix “in tempi brevissimi”, probabilmente già in queste ore.
La vulnerabilità legata a HTML+TIME viene classificata dagli esperti fra le cosiddette falle “cross-site scripting”, la più grande minaccia per i Web service e i siti di e-commerce.
Ti potrebbe interessare
25 mar 2004