Ferve l’interesse intorno a Internet Explorer e alle insidie tutte nuove legate al ” cookie hijacking “. Il ricercatore di sicurezza Rosario Valotta ha ora reso di pubblico dominio un bug segnalato a Microsoft già dallo scorso gennaio, che sembra coinvolgere tutte le versioni del browser.
La vulnerabilità in questione permetterebbe di appropriarsi delle credenziali dei naviganti registrate nei file cookie sul PC. Il sistema, secondo Valotta, funziona su tutte le versioni di Windows e può essere potenzialmente utilizzato con tutti quei siti che richiedono l’inserimento di password e username.
Per la precisione, la tecnica del cookie hijacking esige una certa collaborazione dell’utente che dovrà, ad esempio, trascinare un oggetto su una pagina web “modificata”. Per dimostrare il funzionamento della minaccia Vallotta ha infatti creato un puzzle game postato su Facebook: solo giocando con questi contenuti-trappola si consente al malintenzionato di arrivare ai cookie della sessione in corso.
Secondo Microsoft non stiamo parlando di una vulnerabilità grave, proprio perché è richiesta anche l’interazione da parte della “vittima”, rispetto ad una esecuzione di codice remoto automatica, ma il ricercatore italiano dichiara di aver “rubato” 80 cookie in soli tre giorni ai suoi 150 amici di Facebook.
Molto probabilmente un cerotto riparatore arriverà con gli aggiornamenti di Internet Explorer previsti tra giugno e agosto.
Nel frattempo la pagina di Valotta con il report e i test non è più raggiungibile.
Roberto Pulito