Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di Internet Explorer 11

cross-site scripting  Internet Explorer  phishing   giovedì, 5 febbraio 2015

Il ricercatore David Leo ha scoperto una falla di sicurezza nel browser Internet Explorer che permetterebbe ad un malintenzionato di eseguire un attacco di phishing molto convincente iniettando codice malevolo nel browser mentre questo viene utilizzato dall’utente durante la navigazione.

Nel suo post vengono mostrati i dettagli della vulnerabilità fornendo anche un link che dimostra una prova di attacco su di un popolare sito giornalistico.

La vulnerabilità colpisce la versione 11 di Microsoft Internet Explorer sui sistemi operativi Windows 7 e Windows 8.1 ed è riconducibile ad un cross-site scripting (XSS) che consente di superare la Same-Origin Policy (SOP), ovvero la regola che permette a più script in esecuzione lanciati da pagine dello stesso sito di accedere reciprocamente alle rispettive risorse, impedendo invece che questo accada per script lanciati da siti diversi.

Nella prova di attacco eseguita viene evidenziato come non sia il sito che l’utente sta visitando ad essere violato, ma è ciò che il browser visualizza ad essere modificato in modo ingannevole.

Quello che rende pericoloso questo tipo di attacco è il fatto che l’URL visualizzato nella barra degli indirizzi non cambia rendendo l’utente inconsapevole che qualcosa di sospetto stia accadendo, permettendo così ad un malintenzionato di ridirezionare la navigazione verso una falsa pagina di accesso.

Al momento non sono state emesse patch che risolvano questa vulnerabilità.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (luglio 2019)

10 luglio 2019

Nella giornata del 9 luglio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

2 luglio 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 75 vulnerabilità, di cui 9 critiche e altre 10 di gravità elevata.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (giugno 2019)

12 giugno 2019

Nella giornata dell'11 giugno 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto