Il noto cacciatore di bug polacco Michal Zalewski ha scoperto quattro nuove vulnerabilità di sicurezza annidate nei due browser più utilizzati al mondo: Internet Explorer e Firefox. In perfetto regime di par condicio, entrambi i browser sono interessati da due debolezze, una di pericolosità elevata e l’altra moderata.
La vulnerabilità più grave, giudicata da Zalewski “critical”, riguarda IE6 e 7 e potrebbe essere sfruttata da un aggressore per rubare o modificare cookie, dirottare l’utente verso pagine web maligne, iniettare codice dannoso o causare il crash del browser. L’utente corre i maggiori rischi quando naviga, all’interno dello stesso dominio, da una pagina web in cui ha inserito dati personali (come password, numeri di carta di credito, ecc.) ad una non correlata contenente un JavaScript maligno: tale script può girare con gli stessi permessi della pagina precedente ma in un conesto del tutto diverso. La portata di questa falla è limitata dal fatto che la pagina contenente dati sensibili e quella contenente lo script maligno devono soddisfare la policy same-domain origin .
La seconda falla più grave, classificata “major”, interessa invece Firefox e può essere utilizzata da un malintenzionato per inoculare del codice maligno, come keylogger e altri tipi di malware, in una pagina contenente degli IFRAME. Secondo l’esperto polacco, la debolezza è connessa ad una vulnerabilità corretta da Mozilla Foundation lo scorso anno: il fix, a quanto pare, non ha però chiuso tutti i buchi.
Firefox è afflitto anche da un problema di più moderata entità sfruttabile per bypassare il dialogo di conferma dei download: un sito web maligno potrebbe far leva sulla debolezza per scaricare o eseguire file sul PC locale all’insaputa dell’utente. Un’altra falla classificata da Zalewski di moderato rischio interessa invece IE6 e potrebbe consentire ad un sito web di mascherare l’URL mostrato nella barra degli indirizzi.
Le quattro vulnerabilità vengono descritte da Zalewski in questo advisory .
Ma non sono solo le falle a preoccupare gli esperti in questi giorni. Un ricercatore di sicurezza, Robert Hansen, ha da poco pubblicato i dettagli di un nuovo e sofisticato attacco man-in-the-middle contro Google Desktop . L’esperto sostiene che un abile cracker potrebbe essere in grado di manipolare i risultati di una ricerca e, eventualmente, prendere il controllo dei programmi sul desktop. Per illustrare l’attacco, Hansen ha pubblicato questa dimostrazione filmata .
Non solo. Nel proprio rapporto Web Security Trends la società di sicurezza Finjan ha invece evidenziato l’emergere di quelli che ha definito “una nuova classe di attacchi elusivi” contro gli utenti web. Attacchi che utilizzano nuove tecniche per eludere i “segugi” della sicurezza. Ad esempio, certi siti maligni tracciano l’indirizzo IP di tutti i visitatori in modo da minimizzare il numero di utenti che vengono esposti al codice dannoso per più di una volta: ciò rende assai più difficile, per webmaster e ricercatori di sicurezza, risalire al codice incriminato.
“Le tecniche di attacco elusive, dove il codice è controllato dall’indirizzo IP, dal paese di origine e dal numero di visite, consentono ai cracker di minimizzare l’esposizione del codice di attacco, riducendo di conseguenza la possibilità che questo venga scoperto (e analizzato, NdR)”, spiega Finjan. “La combinazione di questi attacchi elusivi con le tecniche di code obfuscation accresce significativamente le chance dei cracker più abili di non essere scoperti”.