Falla Javascript, a rischio quasi tutti i browser.

Di Paolo Attivissimo.

Una vulnerabilit molto diffusa consente di creare false finestre di dialogo, utilizzabili da un aggressore per rubare password e altri dati sensibili.

ZEUS News.

www.zeusnews.it.

22-06-2005.

Secunia Research ha annunciato l'esistenza di una falla piuttosto seria in numerosi browser che pu essere sfruttata da un sito ostile per creare finestre
di dialogo ingannevoli.

Il difetto, secondo Secunia,  che le finestre di dialogo generate tramite Javascript non specificano la propria origine. Questo permette a una nuova finestra
del browser di aprire una finestra di dialogo che sembra appartenere a un sito fidato quando in realt proviene da un sito ostile aperto in un'altra finestra.

La situazione tipica  questa: la vittima visita un sito-trappola che apparentemente non fa nulla di male (anzi magari alletta con qualche "premio" ghiotto,
come immagini o suonerie o MP3 scaricabili), poi apre un'altra finestra e visita un sito sicuro e fidato (per esempio quello della sua banca, o quello
della sua webmail). Il sito-trappola  in grado di visualizzare in molti browser sopra la pagina del sito fidato una finestra di dialogo che gli chiede,
per esempio, di immettere login e password del sito fidato. Queste informazioni, invece di essere passate al sito fidato, vengono trasmesse al sito ostile.

Secunia ha preparato una
Dimostrazione alla pagina:

http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/.

che permette di verificare se il vostro browser  a rischio. Secondo Secunia, sono vulnerabili Internet Explorer per Mac e Windows, Opera, Safari, iCab,
Mozilla, FireFox e Camino: la falla pu quindi avere effetto anche su browser sistemi operativi diversi da Windows. Di certo funziona egregiamente con
Firefox per Mac, stando alle mie prove.

Per verificare se siete vulnerabili  sufficiente visitare la dimostrazione preparata da Secunia e cliccare col pulsante sinistro sul link "Test Now - Left
Click On This Link": si aprir una nuova finestra, nella quale comparir Google (sito autentico).

Se il browser  fallato, sopra la finestra di Google comparir una richiesta di immettere una password. Essendo una dimostrazione, non importa cosa vi immettete:

premendo Invio, comparir una ulteriore finestra che vi ammonisce che si poteva trattare tranquillamente di un sito ostile, al quale a questo punto avreste
regalato la vostra password.

In attesa che i produttori dei vari browser risolvano il problema, conviene disattivare Javascript almeno quando si visitano siti non fidati e pi in generale
non visitare contemporaneamente siti fidati e siti di cui non si conosce l'affidabilit.

Paolo Attivissimo.

