Roma – Non si salva nessuno. Tutti i più noti browser web sulla piazza condividono infatti un comportamento che, in certe circostanze, potrebbe esporre gli utenti al rischio di cadere in truffe on-line ben congegnate, anche note come phishing.
Il problema, che secondo Secunia si può riscontrare in Internet Explorer, Opera, Safari, Konqueror e i browser della famiglia Mozilla, consiste nella possibilità, per un sito web malevolo, di controllare la finestra pop-up aperta da un altro sito e modificarne il contenuto: perché questo sia possibile, un utente deve aprire il sito fidato in una finestra del browser e il sito malevolo in un’altra finestra. Non è difficile immaginare come un malfattore possa inserire all’interno del pop-up una form che induca l’utente ad introdurre dati personali, password o numeri di carta di credito.
Secunia, che descrive il problema come una vera e propria falla di sicurezza, spiega in questo advisory che l’aggressore può modificare la finestra pop up semplicemente conoscendone il nome. La società di sicurezza ha pubblicato un test on-line con cui è possibile verificare se il proprio browser è vulnerabile.
Microsoft ha confermato che il problema descritto da Secunia accomuna tutte le versioni di Internet Explorer ancora supportate, inclusa quella contenuta nel Service Pack 2 per Windows XP. Il big di Redmond, come altri produttori di browser, rifiuta però di catalogare questo comportamento alla stessa stregua di un bug o di una falla di sicurezza.
Sebbene Thomas Kristensen, chief technology officer di Secunia, ammetta che la “vulnerabilità” non è originata da un errore di programmazione vero e proprio, egli sostiene che essa è in ogni caso il frutto di una grave svista: nessuno dei browser testati dalla società, ha infatti spiegato Kristensen, controlla se il sito che sta modificando un pop-up è autorizzato a farlo. Ad aggravare la cosa interviene poi il fatto che la finestra pop-up è generalmente priva della barra di navigazione, e dunque l’URL della pagina web malevola non viene visualizzato.
In attesa che i produttori di browser modifichino il comportamento dei propri programmi, Secunia suggerisce agli utenti di navigare sui siti protetti tenendo aperta una sola finestra del browser.