New York (USA) – Quella categoria di vulnerabilità di sicurezza nota con il nome di Cross-Site Scripting (CSS) sembra riconfermarsi una delle insidie più temibili per il Web, soprattutto perché non risparmia siti anche molto celebri e visitati.
I CSS sono falle che in genere non mettono a repentaglio la sicurezza dei server su cui gira il sito, quanto quella degli utenti che li visitano: attraverso questo tipo di falle un cracker può infatti essere in grado di rubare password, numeri di carte di credito, cookie ed altri dati sensibili.
Questo è un rischio che in passato hanno corso gli utenti di alcuni fra i siti più famosi al mondo, come quelli di AOL, Ebay, MSN, Excite e Lycos, e che oggi sembra affliggere nuovamente tre risorse di grosso calibro: i siti di Cisco, Oracle e Hotmail.
SecuriTeam.com , la società di sicurezza che ha scoperto le vulnerabilità, sostiene che sia nel caso di Oracle che di Cisco la falla può essere sfruttata da un aggressore per reindirizzare l’ignaro utente verso script Java o codice HTML di terze parti: il tutto senza che l’utente si accorga di aver eseguito oggetti estranei al sito che sta visitando in quel momento.
Il rischio più grosso è che un cracker possa sfruttare la falla per rubare i dati con cui gli utenti accedono alle parti riservate dei siti vulnerabili. Secondo SecuriTeam.com, il sito di Cisco potrebbe ad esempio permettere ad un aggressore di piazzare ordini a nome di un altro utente o di scaricare una versione del sistema operativo IOS normalmente non disponibile al pubblico. C’è però da dire che questo tipo di attacchi sono in genere molti difficili da portare a compimento e richiedono skill tecnici non comuni.
Per quanto riguarda Hotmail, la nuova falla di tipo CSS scoperta da SecuriTeam.com riguarda la possibilità, per un aggressore, di inserire script Java malevoli all’interno delle e-mail HTML: questo potrebbe consentire al cracker di infiltrarsi su di un dato account di Web-mail ospitato sul popolare servizio di Microsoft.
SecuriTeam.com riporta che solo Oracle, al momento, avrebbe corretto la falla.