Roma – Un esperto di sicurezza ha recentemente scoperto e divulgato un “trucco” utilizzabile con Internet Explorer per mascherare la vera origine di una pagina Web.
La vulnerabilità consente ad un aggressore di utilizzare uno speciale URL (Uniform Resource Locator) che, separando due indirizzi Web con la stringa “%01@”, fa in modo che nella barra degli indirizzi di IE venga visualizzato solo il primo URL. Un esempio è stato pubblicato qui dall’esperto di sicurezza che, sotto lo pseudonimo di “Zap the Dingbat”, ha divulgato per primo la vulnerabilità attraverso la mailing-list BugTraq.
E’ facile intuire come questo sistema potrebbe essere facilmente sfruttato da malintenzionati per ingannare l’utente, facendogli credere di trovarsi in un sito a lui noto, e inducendolo a rivelare i propri dati personali o a scaricare programmi malevoli.
Secunia ha descritto il bug come un “input validation error” e gli ha attribuito un fattore di rischio moderato. La vulnerabilità è stata testata con IE 6, ma potrebbe interessare anche versioni precedenti.
Un portavoce di Microsoft ha fatto sapere che l’azienda sta investigando sul problema.