Il ricercatore David Leo ha recentemente individuato una nuova vulnerabilità di sicurezza su Internet Explorer, browser che può essere (ab)usato per condurre pericolosi attacchi di Cross-Site Scripting (XSS) contro siti Web ad alto livello di popolarità.
Come spiegato da Leo nella pagina dimostrativa , grazie al nuovo bug un malintenzionato può teoricamente “rubare qualsiasi cosa” da un altro dominio e inserire codice in un dominio esterno. Il baco è stato testato sulla versione più recente di Internet Explorer 11 su OS Windows 7.
La vulnerabilità di Cross-Site Scripting “universale” è una minaccia concreta e pericolosa, avvertono i ricercatori, e anche le misure di sicurezza aggiuntive come Same Origin Policy (SOP) e Content Security Policy possono essere bypassate.
Microsoft, informata nel mese di ottobre , è a conoscenza del problema in IE, e sarebbe al lavoro su una patch correttiva. Tutto sta ora a ipotizzare quando la patch verrà effettivamente rilasciata al pubblico, se a Redmond aspetteranno il tradizionale Patch Tuesday del secondo martedì del mese o si affretteranno i tempi.
La questione dei tempi di distribuzione degli update per vulnerabilità di sicurezza si è fatta spinosa, ultimamente, soprattutto a causa di Google e della policy del suo Project Zero, che prevede la pubblicazione dei dettagli delle falle scaduti i 90 giorni da quando il soggetto vulnerabile è stato informato. Inutile dirlo, tra le “vittime” principali del nuovo regime si conta proprio Microsoft.
Alfonso Maruccia