Roma – Tutti i principali browser Web dotati della funzionalità di tabbed browsing, che come noto consente di aprire più siti pagine all’interno della stessa finestra, contengono due falle di sicurezza che, seppure non gravi, potrebbero essere sfruttate da webmaster senza scrupoli per carpire informazioni destinate ad altri siti.
La prima vulnerabilità può essere utilizzata da un sito Web malevolo per aprire una finestra di dialogo in un altro tab, inducendo così l’utente a credere che questa appartenga ad un altro sito. La seconda vulnerabilità può invece consentire ad un sito Web malevolo aperto in un tab di rubare i dati inseriti dall’utente in un altro tab. Entrambe interessano tutti i browser basati su Mozilla, incluso Firefox, Netscape, Opera, Konqueror ed altri.
“Non si può parlare di bug veri e propri ma, piuttosto, di debolezze sfruttabili attraverso script JavaScript”, ha commentato Gerardo Di Giacomo, di Zone-h.it . “La prima vulnerabilità può essere sfruttata da un sito Web attraverso uno script che, quando si passa col mouse su di un link, fa partire un timer. Questo timer, impostato ad esempio su 10 secondi dal passaggio del mouse, apre una finestra di dialogo e chiede di inserire una stringa. Nel frattempo, se si clicca sul link e si apre in un nuovo tab, si ha l’impressione che la finestra di dialogo provenga direttamente dal sito che abbiamo aperto (in realtà appartiene al sito in cui è presente il link). Se infatti passiamo con il mouse sul link senza aprirlo, appare comunque la finestra di dialogo. Un utente sbadato potrebbe non accorgersi del problema e inserire informazioni sensibili nel dialog box credendo di inviarle al sito visualizzato nel tab attivo”.
Questo trucco potrebbe essere sfruttato per il cosiddetto “phishing”, replicando ad esempio i campi di una form che si trovano sul sito di una banca o di un negozio on-line.
La seconda vulnerabilità è leggermente più sofisticata e permette ad un sito Web malevolo di ottenere il “fuoco”, ovvero la capacità di catturare i caratteri da tastiera, su di un form anche se si trova in un tab non attivo. Questo fa in modo che quando un utente inserisce dei dati nella form di un tab attivo in realtà ciò che scrive finisce nella form di un altro tab. E’ tuttavia facile accorgersi dell’inganno visto che il testo digitato sul sito in primo piano non viene visualizzato (perché in realtà si sta scrivendo nella form del sito Web malevolo).
Per alcuni browser, tra cui Konqueror, sono già disponibili le patch. Mozilla Foundation conta di correggere il problema con il rilascio dell’ormai imminente versione 1.0. Nel frattempo gli esperti suggeriscono agli utenti di disattivare JavaScript.
Su sito di Secunia è possibile verificare la vulnerabilità del proprio browser a simili attacchi qui e qui .
Negli scorsi giorni sono state rivelate anche due vulnerabilità di Internet Explorer 6, entrambe varianti di una falla nella funzionalità drag-and-drop di IE corretta da Microsoft proprio questo mese. Secunia, che ha classificato le due falle come “highly critical”, ha spiegato che possono essere sfruttate da un aggressore per eseguire uno script con gli stessi privilegi dell’utente o eseguire documenti HTML memorizzati in locale. Secondo gli esperti di sicurezza il problema è riscontrato anche sui sistemi dove sia stato installato il Service Pack 2 per Windows XP.
“Microsoft sostiene che per sfruttare questa vulnerabilità c’è bisogno dell’interazione dell’utente, quindi risulta difficile la creazione di un worm, anche se tale eventualità non è comunque da non escludere”, ha detto Di Giacomo. “In attesa di una patch, è consigliabile disattivare l’esecuzione dei controlli ActiveX”.