Falla Javascript, a rischio quasi tutti i browser

Una vulnerabilità molto diffusa consente di creare false finestre di dialogo, utilizzabili da un aggressore per rubare password e altri dati sensibili.



[ZEUS News - www.zeusnews.it - 22-06-2005]

[immagine della trappola]

Secunia Research ha annunciato l'esistenza di una falla piuttosto seria in numerosi browser che può essere sfruttata da un sito ostile per creare finestre di dialogo ingannevoli.

Il difetto, secondo Secunia, è che le finestre di dialogo generate tramite Javascript non specificano la propria origine. Questo permette a una nuova finestra del browser di aprire una finestra di dialogo che sembra appartenere a un sito fidato quando in realtà proviene da un sito ostile aperto in un'altra finestra.

La situazione tipica è questa: la vittima visita un sito-trappola che apparentemente non fa nulla di male (anzi magari alletta con qualche "premio" ghiotto, come immagini o suonerie o MP3 scaricabili), poi apre un'altra finestra e visita un sito sicuro e fidato (per esempio quello della sua banca, o quello della sua webmail). Il sito-trappola è in grado di visualizzare in molti browser sopra la pagina del sito fidato una finestra di dialogo che gli chiede, per esempio, di immettere login e password del sito fidato. Queste informazioni, invece di essere passate al sito fidato, vengono trasmesse al sito ostile.

Secunia ha preparato una dimostrazione che permette di verificare se il vostro browser è a rischio. Secondo Secunia, sono vulnerabili Internet Explorer per Mac e Windows, Opera, Safari, iCab, Mozilla, FireFox e Camino: la falla può quindi avere effetto anche su browser sistemi operativi diversi da Windows. Di certo funziona egregiamente con Firefox per Mac, stando alle mie prove.

Per verificare se siete vulnerabili è sufficiente visitare la dimostrazione preparata da Secunia e cliccare col pulsante sinistro sul link "Test Now - Left Click On This Link": si aprirà una nuova finestra, nella quale comparirà Google (sito autentico).

Se il browser è fallato, sopra la finestra di Google comparirà una richiesta di immettere una password. Essendo una dimostrazione, non importa cosa vi immettete: premendo Invio, comparirà una ulteriore finestra che vi ammonisce che si poteva trattare tranquillamente di un sito ostile, al quale a questo punto avreste regalato la vostra password.

In attesa che i produttori dei vari browser risolvano il problema, conviene disattivare Javascript almeno quando si visitano siti non fidati e più in generale non visitare contemporaneamente siti fidati e siti di cui non si conosce l'affidabilità.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 25)

Alice adsl Leggi tutto
11-8-2005 19:21

Gio'
Firebird 0.7 Leggi tutto
27-7-2005 05:47

Pier Paolo
disattivare le finestre pop-up Leggi tutto
11-7-2005 15:32

Daniele Margotti
Qui si cerca proprio il pelo nell'uovo... Leggi tutto
11-7-2005 10:04

e il link al test di secunia?
9-7-2005 16:12

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto sei dipendente dal tuo smartphone?
Non posseggo uno smart phone.
Spesso lo dimentico e quando lo porto con me a volte lo lascio o lo dimentico spento.
Lo utilizzo con una certa frequenza, ma ne potrei fare a meno.
Per lavoro è un compagno inseparabile, ma alla sera e nei week-end lo spengo volentieri.
Lo porto sempre con me: senza mi sentirei incompleto.

Mostra i risultati (4542 voti)
Luglio 2025
ChatGPT in imbarazzo: con un semplice trucco genera chiavi attivazione Windows
La IA di Google "fa calare il traffico" ai siti web: parte la denuncia alla Commissione Europea
Il frigorifero di Samsung che fa a meno del gas: sfrutta l'effetto Peltier
Il pericolo delle eSIM
SPID, l'addio è ufficiale: il governo punta su CIE e IT Wallet
Bollette gonfiate, le strategie illecite. Scandalo energetico in Italia
Eliza colpisce ancora
Fuga da Windows: in tre anni ha perso 400 milioni di utenti. Preferiti Android, Mac e Linux
Giugno 2025
Windows 10, aggiornamenti gratuiti per tutti. Ma ci sono requisiti da rispettare
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE entro agosto 2026
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook, Google e Apple
Tracciamento delle notifiche: ultima frontiera
Amazon stringe sui resi: la finestra scende da 30 a 14 giorni
Passare a Windows 11 è più semplice con Windows Migration. La fine di Windows 10 è già arrivata
WhatsApp, ecco perché stai ricevendo un messaggio che ti chiede di aggiungere l'indirizzo email
Tutti gli Arretrati
Accadde oggi - 15 luglio


web metrics