Roma – In Internet Explorer è riaffiorata un falla vecchia di sei anni che potrebbe consentire ad un sito malevolo di alterare arbitrariamente il contenuto di un altro sito.
La società di sicurezza Secunia ha spiegato qui che il problema “consiste nel fatto che IE non impedisce ad una finestra del browser di visualizzare contenuti all’interno del frame di un’altra finestra”. In altre parole, se un utente ha due finestre del browser aperte, una contenente il sito A (malevolo) ed una contenente il sito B (benevolo), il sito A può modificare il contenuto del sito B, ad esempio visualizzando frame, testo o link estranei. Questo può avvenire solo se il sito A viene aperto dopo il sito B.
La vulnerabilità, che Secunia definisce molto simile ad una (MS98-20) che interessava IE 3 e 4, si trova in tutte le più recenti versioni del browser di Microsoft, dalla 5.x alla 6. Per verificare la vulnerabilità del proprio browser è possibile effettuare questo test .
Alcuni esperti ritengono che questa falla, classificata da Secunia di rischio moderato, potrebbe essere utilizzata da malintenzionati per organizzare delle truffe on-line, ad esempio creando dei siti capaci di mescolare il contenuto di un sito noto, come ad esempio quello di un negozio on-line, e indurre l’utente a inserire gli estremi della propria carta di credito all’interno di falsi frame. I cracker potrebbero utilizzare lo stesso sistema per far scaricare agli utenti cavalli di Troia o altro tipo di malware.
Update (ore 1,30) – Come segnalato da diversi lettori sul forum della notizia, Secunia ha pubblicato qui un advisory in cui spiega che il problema che affligge IE è condiviso anche da diversi altri browser, incluse varie versioni di Opera, Mozilla, Firefox, Netscape, Safari e Konqueror. Mal comune mezzo gaudio?