Negli scorsi giorni la società di sicurezza Secunia ha dichiarato che Internet Explorer 7 è vulnerabile ad una vecchia falla che affliggeva il suo predecessore, IE6. Una falla che può essere utilizzata dai phisher per rendere più credibili le loro truffe online.
Secondo quanto spiegato da Secunia in questo advisory , un sito web maligno può sfruttare la debolezza per modificare il contenuto della finestra di un altro sito : perché questo sia possibile, però, il sito malintenzionato deve conoscere a priori il titolo della finestra popup in cui iniettare i falsi contenuti.
È facile immaginare come questo attacco possa essere sfruttato dai phisher per sostituire il contenuto di un sito conosciuto , come quello di una banca, e rubare i dati personali degli utenti. La falla è mitigata dal fatto che l’indirizzo del sito corrente rimane visibile, ma se combinata con la vulnerabilità riportata la scorsa settimana , un eventuale attacco potrebbe risultare molto convincente.
Secunia ha messo a disposizione questo test per verificare se il proprio browser è vulnerabile.
Un portavoce di Microsoft ha affermato che il comportamento rilevato da Secunia non è una vulnerabilità di IE7 , ma una funzionalità pensata per consentire ad un sito web di riaprire o riutilizzare una finestra. Il big di Redmond sostiene che questo comportamento è comune anche ad altri browser. La conferma sembra arrivare da BetaNews.com , che in questo articolo sostiene di essere riuscito a riprodurre l’attacco anche con Firefox 1.5 e 2.0: in un caso anche con il filtro anti-popup attivato.