PDA

Visualizza versione completa : Security Firefox e Opera vulnerabili agli URI malevoli



Asterix
06-09-12, 07: 46
Un ricercatore di sicurezza aggiorna un vecchio attacco già noto e ne testa l'efficacia con i browser "alternativi" più avanzati. Il Panda Rosso e il navigatore norvegese falliscono la prova
Roma - Mozilla Firefox e Opera sono vulnerabili a un attacco piuttosto problematico, un tipo di phishing in cui un intero sito web fasullo (con tanto di script eseguibile) viene nascosto all'interno di un URI (Uniform Resource Identifier (https://secure.wikimedia.org/wikipedia/en/wiki/Uniform_Resource_Identifiers)). L'attacco era già noto, ma la nuova versione prende di mira anche i browser "alternativi" a Internet Explorer.

Piuttosto che necessitare del setup di un server apposito con tanto di pagina web e codice malevolo con cui carpire i dati degli utenti, l'attacco richiede semplicemente di specificare un link (http://www.theregister.co.uk/2012/09/03/phishing_without_hosts_peril/): tutto quanto è necessario per spingere (surrettiziamente) l'utente a fornire informazioni sensibili è presente in quel link, esclusa ovviamente l'infrastruttura necessaria a raccogliere e gestire le suddette informazioni.

Il sistema, neanche a dirlo, faciliterebbe di molto l'opera dei cybercriminali, tanto più usando un servizio di compressione dei link come TinyURL e similari per nascondere l'enorme mole di caratteri e codice compresso da cui l'ipotetico URI malevolo sarebbe composto.
A riproporre un problema già noto da tempo è stato Henning Klevjer, studente dell'Università di Oslo, che ha creato un URI da ben 26 Kilobyte e ne ha testato il funzionamento con i browser più noti presenti sul mercato: l'attacco originale era indirizzato a Internet Explorer 6 e 7, quello rinnovato manda in crash il browser di Microsoft ma funziona correttamente su Firefox e Opera. Chrome invece blocca l'esecuzione dell'URI malevolo.

Alfonso Maruccia
Punto-Informatico (http://punto-informatico.it/3595696/PI/News/firefox-opera-vulnerabili-agli-uri-malevoli.aspx)
http://s1.punto-informatico.it/ccpi.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

Ricky
07-09-12, 21: 35
manda in crash il browser di Microsoft

vabbé bel modo per difendersi :ghgh :ghgh