Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di Internet Explorer 11

cross-site scripting  Internet Explorer  phishing   giovedì, 5 febbraio 2015

Il ricercatore David Leo ha scoperto una falla di sicurezza nel browser Internet Explorer che permetterebbe ad un malintenzionato di eseguire un attacco di phishing molto convincente iniettando codice malevolo nel browser mentre questo viene utilizzato dall’utente durante la navigazione.

Nel suo post vengono mostrati i dettagli della vulnerabilità fornendo anche un link che dimostra una prova di attacco su di un popolare sito giornalistico.

La vulnerabilità colpisce la versione 11 di Microsoft Internet Explorer sui sistemi operativi Windows 7 e Windows 8.1 ed è riconducibile ad un cross-site scripting (XSS) che consente di superare la Same-Origin Policy (SOP), ovvero la regola che permette a più script in esecuzione lanciati da pagine dello stesso sito di accedere reciprocamente alle rispettive risorse, impedendo invece che questo accada per script lanciati da siti diversi.

Nella prova di attacco eseguita viene evidenziato come non sia il sito che l’utente sta visitando ad essere violato, ma è ciò che il browser visualizza ad essere modificato in modo ingannevole.

Quello che rende pericoloso questo tipo di attacco è il fatto che l’URL visualizzato nella barra degli indirizzi non cambia rendendo l’utente inconsapevole che qualcosa di sospetto stia accadendo, permettendo così ad un malintenzionato di ridirezionare la navigazione verso una falsa pagina di accesso.

Al momento non sono state emesse patch che risolvano questa vulnerabilità.

Notizie correlate

Aggiornamento di sicurezza per Moodle (gennaio 2020)

20 gennaio 2020

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2020)

15 gennaio 2020

Nella giornata del 14 gennaio 2020 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto