Per la terza volta nel giro di pochi mesi Microsoft si appresta a modificare il filtro XSS di Internet Explorer 8, una sorta di setaccio concepito per bloccare i comandi utilizzati nei più comuni attacchi di tipo cross-site scripting (XSS).
La nuova modifica, che farà parte degli aggiornamenti di giugno, dovrebbe correggere una seria vulnerabilità nell’XSS Filter portata alla luce da alcuni ricercatori presso la recente Black Hat Security Conference di Barcellona. Come spiegato in questo post del Microsoft Security Response Center Blog (MSRC), tale debolezza potrebbe essere utilizzata da un aggressore per rendere possibili attacchi cross-site scripting anche contro quei siti che non sarebbero altrimenti vulnerabili.
“In gennaio ( MS10-002 ) e ancora in marzo ( MS10-018 ) abbiamo intrapreso alcuni passi per mitigare questa categoria di minacce, e un altro grande passo in questo senso lo faremo il prossimo giugno” si legge nel succitato post di David Ross, ricercatore presso il MSRC. “Nonostante tutto, continuiamo a sostenere l’importanza di utilizzare un browser con un filtro XSS, questo perché i benefici derivanti da questa forma di protezione superano in molti casi i rischi legati alle vulnerabilità (introdotte dal filtro stesso, ndr)”.
In Firefox una forma di protezione simile a quella offerta dall’XSS Filter di IE8, ma più potente e flessibile, viene fornita dal famoso add-on NoScript . Anche Mozilla si è attivata nella lotta contro i famigerati attacchi XSS implementando, in alcune release sperimentali di Firefox, la specifica Content Security Policy. A differenza di XSS Filter e NoScript, CSP fornisce a sviluppatori web e webmaster la possibilità di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web.
Alessandro Del Rosso