Falla Javascript, a rischio quasi tutti i browser

peppoweb

Utente Attivo
Una vulnerabilità molto diffusa consente di creare false finestre di dialogo, utilizzabili da un aggressore per rubare password e altri dati sensibili.

Secunia Research ha annunciato l'esistenza di una falla piuttosto seria in numerosi browser che può essere sfruttata da un sito ostile per creare finestre di dialogo ingannevoli.

Il difetto, secondo Secunia, è che le finestre di dialogo generate tramite Javascript non specificano la propria origine. Questo permette a una nuova finestra del browser di aprire una finestra di dialogo che sembra appartenere a un sito fidato quando in realtà proviene da un sito ostile aperto in un'altra finestra.

La situazione tipica è questa: la vittima visita un sito-trappola che apparentemente non fa nulla di male (anzi magari alletta con qualche "premio" ghiotto, come immagini o suonerie o MP3 scaricabili), poi apre un'altra finestra e visita un sito sicuro e fidato (per esempio quello della sua banca, o quello della sua webmail). Il sito-trappola è in grado di visualizzare in molti browser sopra la pagina del sito fidato una finestra di dialogo che gli chiede, per esempio, di immettere login e password del sito fidato. Queste informazioni, invece di essere passate al sito fidato, vengono trasmesse al sito ostile.

Secunia ha preparato una dimostrazione (http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/) che permette di verificare se il vostro browser è a rischio. Secondo Secunia, sono vulnerabili Internet Explorer per Mac e Windows, Opera, Safari, iCab, Mozilla, FireFox e Camino: la falla può quindi avere effetto anche su browser sistemi operativi diversi da Windows. Di certo funziona egregiamente con Firefox per Mac, stando alle mie prove.

Per verificare se siete vulnerabili è sufficiente visitare la dimostrazione preparata da Secunia e cliccare col pulsante sinistro sul link "Test Now - Left Click On This Link": si aprirà una nuova finestra, nella quale comparirà Google (sito autentico).

Se il browser è fallato, sopra la finestra di Google comparirà una richiesta di immettere una password. Essendo una dimostrazione, non importa cosa vi immettete: premendo Invio, comparirà una ulteriore finestra che vi ammonisce che si poteva trattare tranquillamente di un sito ostile, al quale a questo punto avreste regalato la vostra password.

In attesa che i produttori dei vari browser risolvano il problema, conviene disattivare Javascript almeno quando si visitano siti non fidati e più in generale non visitare contemporaneamente siti fidati e siti di cui non si conosce l'affidabilità.

Fonte: Paolo Attivissimo
 
Discussioni simili
Autore Titolo Forum Risposte Data
peppoweb Falla in IE6 e in un plug-in di Adobe Sicurezza e Virus 0
peppoweb Una falla rende vulnerabile Office Sicurezza e Virus 0
peppoweb Falla in ZoneAlarm Freeware Sicurezza e Virus 0
peppoweb Falla in Microsoft Internet Explorer 6.0 SP1 patchato Sicurezza e Virus 0
peppoweb Falla di Win NT: Microsoft si arrende Sicurezza e Virus 0
peppoweb Scoperta una grave falla in Flash!!! Flash 0
M Inviare un file su un server remoto con JavaScript Javascript 0
T a href="javascript:;" Javascript 0
F Creare elementi html con javascript Javascript 2
A pulsante di update campo mysql con javascript Javascript 2
8 Javascript - PDF Form Javascript 0
B javascript per problemi con pdf e Safari Javascript 0
N informazione javascript Programmazione 0
I Eecuzione di javascript in ciclo foreach php. PHP 7
P javascript:document.forms Javascript 7
S Consiglio esercizio Javascript Javascript 2
MarcoGrazia Aggiungere o rimuovere classi in javascript Javascript 1
P Passaggio id php a javascript PHP 6
E lettura da un Database con Javascript jQuery 2
V TRIS in javascript Javascript 1
IClaude Funzione Javascript Javascript 8
Alex_70 Javascript date color Javascript 3
F Convertire JavaScript per la compatibilità nei browser obsoleti Javascript 0
I Passare dei parametri in javascript PHP 0
Shyson Meglio Javascript o HTML? Javascript 4
M Chiamare pagina php da javascript Javascript 8
M Errore JavaScript per php [objeto HTMLParagraphElement] PHP 0
D Javascript per il download dei dati Javascript 0
grgfede Problema javascript con aruba Javascript 1
webmachine [PHP] [JAVASCRIPT] Form strano in HTML PHP PHP 1
W Modificare il Type di un Input box in javascript ovunque si trovi Javascript 0
I javascript come caricare una pagina sopra quella corrente in automatico Javascript 2
L [Javascript] Problema salvataggio dati in db Javascript 1
max1974 [Javascript] Grafico chartjs con dati da J.ajax Javascript 3
G Quiz Javascript Javascript 4
A [Javascript] Scrittura su più campi contemporaneamente Javascript 19
F classic asp popolare combo box javascript Presentati al Forum 1
claudio_lorenzo [Javascript] aiuto su jquery per calcolo altezze dom Javascript 1
F [Javascript] comando innerHTML non funziona Javascript 5
alexice51 proggrammi per scrivere in javascript? Javascript 3
max1974 [Javascript] Accordion aria-exspanded Javascript 0
D [Javascript] salvare immagine canvas - paypal Javascript 0
O [Javascript] Conflitto Jquery: forse... Javascript 0
M [Javascript] Canvas js css Javascript 1
M Programmazione web HTML, CSS e JavaScript Offerte e Richieste di Lavoro e/o Collaborazione 6
G [Javascript] Errore inserimento dati Backend Node.js e workbench Javascript 1
A Creare con Javascript un percorso all'interno di uno spazio Javascript 0
D [Javascript] inserire uno script in un file php Javascript 6
Monital [Javascript] inserire dati estratti dal db in html fisso Javascript 1
K [javascript] Tecnica per rilevare celle contenenti caratteri ricevute in dinamico Javascript 1

Discussioni simili