Chi naviga in Internet con il browser Microsoft IE ed utilizza Google Desktop è a rischio di trasmettere informazioni riservate contenute sul proprio PC.

E' stata infatti scoperta da Matan Gillon una vulnerabilità che affligge solo Internet Explorer e che può essere sfruttata da un sito web malevolo per leggere le informazioni contenute nel computer del visitatore che abbia installato Google Desktop.

Google Desktop è una comoda applicazione offerta gratuitamente da Google che consente di accedere con facilità ai dati presenti sul computer e nel web. Dato che si possono effettuare ricerche all'interno di email, file, fotografie, chat e pagine Web, trovando con facilità quello che si cerca, si può evitare di organizzare manualmente i file e cartelle del PC e questo spiega il successo ottenuto da questo software giunto adesso alla release Beta 2.
Utilizzare anche quest'ultima versione dell'applicativo e l'ultimo Internet Explorer completamente aggiornato, però, non mette al riparo dal rischio di trasmettere in Internet i nostri dati personali più riservati.

La vulnerabilità di cui stiamo parlando è stata battezzata dal suo scopritore CSSXSS cioè "Cascading Style Sheets Cross Site Scripting". In pratica funziona così: un sito web può normalmente importare uno stile CSS da un'altro dominio (con la direttiva "@import" ) e leggere in seguito le regole di stile dalla proprietà "cssText" della collezione document.styleSheets.
Quando però il sito web cerca di importare un CSS non valido (o meglio quello che è confezionato per apparire un CSS) Internet Explorer cerca di interpretarlo comunque, trasmettendo alla proprietà "cssText" porzioni di codice html non senso. E' questo passaggio che può essere sfruttato attraverso codice javascript per reperire e trasmettere informazioni private dell'utente leggibili dal dominio remoto.

Nel caso che infatti l'utente abbia installato Google Desktop e visiti una pagina web opportunamente confezionata che sfrutti la vulnerabilità CSSXSS, il sito remoto sarà in grado di leggere, nel codice html erroneamente passato da Internet Explorer, la chiave segreta, che gli permette di accedere alla interfaccia GDS (Google Desktop Search) dell'utente stesso e quindi alle informazioni contenute nel PC.
Solo Internet Explorer è a rischio in quanto Firefox ha regole più solide per l'importazione dei CSS e Opera non supporta la document.styleSheets collection.

Ma qual'è il rischio reale per gli utenti? A nostro avviso abbastanza elevato, dato che oltre all'annuncio della vulnerabilità è stato pubblicato anche un "proof of concept", ovvero un esempio funzionante dell'exploit e solo per il 13 Dicembre prossimo è atteso il consueto aggiornamento di sicurezza periodico rilasciato da Microsoft (che però non è detto contenga la patch per questa vulnerabilità). Il conto alla rovescia è quindi iniziato e sarà probabilmente solo questione di pochi giorni prima che l'exploit venga sfruttato e l'ignaro utente veicolato (tramite la consueta ondata di spam) a qualche pagina web malevola.
Nell'attesa di rilascio della patch, il consiglio è quello di utilizzare Internet Explorer con i javascript disattivati o, in alternativa usare un browser differente, come Opera oppure Firefox.