Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE NEWS NEWS WEB NEWS SOFTWARE SEGNALA NEWS CERCA NEWS »

Allarme PHISHING



adv

[ Omega drivers 2.6.83 ] [ MS Photo Story 3 ]
Pubblicato da Sbavi il 04/12/2005 alle 00:00

Chi naviga in Internet con il browser Microsoft IE ed utilizza Google Desktop è a rischio di trasmettere informazioni riservate contenute sul proprio PC.

E' stata infatti scoperta da Matan Gillon una vulnerabilità che affligge solo Internet Explorer e che può essere sfruttata da un sito web malevolo per leggere le informazioni contenute nel computer del visitatore che abbia installato Google Desktop.

Google Desktop è una comoda applicazione offerta gratuitamente da Google che consente di accedere con facilità ai dati presenti sul computer e nel web. Dato che si possono effettuare ricerche all'interno di email, file, fotografie, chat e pagine Web, trovando con facilità quello che si cerca, si può evitare di organizzare manualmente i file e cartelle del PC e questo spiega il successo ottenuto da questo software giunto adesso alla release Beta 2.
Utilizzare anche quest'ultima versione dell'applicativo e l'ultimo Internet Explorer completamente aggiornato, però, non mette al riparo dal rischio di trasmettere in Internet i nostri dati personali più riservati.

La vulnerabilità di cui stiamo parlando è stata battezzata dal suo scopritore CSSXSS cioè "Cascading Style Sheets Cross Site Scripting". In pratica funziona così: un sito web può normalmente importare uno stile CSS da un'altro dominio (con la direttiva "@import" ) e leggere in seguito le regole di stile dalla proprietà "cssText" della collezione document.styleSheets.
Quando però il sito web cerca di importare un CSS non valido (o meglio quello che è confezionato per apparire un CSS) Internet Explorer cerca di interpretarlo comunque, trasmettendo alla proprietà "cssText" porzioni di codice html non senso. E' questo passaggio che può essere sfruttato attraverso codice javascript per reperire e trasmettere informazioni private dell'utente leggibili dal dominio remoto.

Nel caso che infatti l'utente abbia installato Google Desktop e visiti una pagina web opportunamente confezionata che sfrutti la vulnerabilità CSSXSS, il sito remoto sarà in grado di leggere, nel codice html erroneamente passato da Internet Explorer, la chiave segreta, che gli permette di accedere alla interfaccia GDS (Google Desktop Search) dell'utente stesso e quindi alle informazioni contenute nel PC.
Solo Internet Explorer è a rischio in quanto Firefox ha regole più solide per l'importazione dei CSS e Opera non supporta la document.styleSheets collection.

Ma qual'è il rischio reale per gli utenti? A nostro avviso abbastanza elevato, dato che oltre all'annuncio della vulnerabilità
è stato pubblicato anche un "proof of concept", ovvero un esempio funzionante dell'exploit e solo per il 13 Dicembre prossimo è atteso il consueto aggiornamento di sicurezza periodico rilasciato da Microsoft (che però non è detto contenga la patch per questa vulnerabilità). Il conto alla rovescia è quindi iniziato e sarà probabilmente solo questione di pochi giorni prima che l'exploit venga sfruttato e l'ignaro utente veicolato (tramite la consueta ondata di spam) a qualche pagina web malevola.
Nell'attesa di rilascio della patch, il consiglio è quello di utilizzare Internet Explorer con i javascript disattivati o, in alternativa usare un browser differente, come
Opera oppure Firefox.


Fonte


Segnala su: Ok Notizie Technorati Digg Delicious FriendFeed UpNews Segnalo Yahoo Google News Windows Live Twitter MySpace Facebook
Leggi tutto o commenta
 In evidenza Spia chiunque tramite cavo USB
Commenti:
Giaky
Non uso ne l'uno ne l'altro..
gsmet
Ehm... ma perchè da me il proof of concept fallisce?

Ovviamente uso ie e gd, ma sono dietro un router.
RNicoletto
Quota :
Originariamente inviato da gsmet
Ehm... ma perchè da me il proof of concept fallisce?

Ovviamente uso ie e gd, ma sono dietro un router.

L'exploit non funzina più perchè era basato sul codice di ritorno della pagina Google News ma adesso la pagina è stata aggiornata proprio a causa del problema di cui sopra .

Comunque DAVVERO BRAVO questo Matan Gillon .
[ Omega drivers 2.6.83 ] [ MS Photo Story 3 ]