Uno dei pilastri per una navigazione sicura sul web è la cosiddetta 'same origin policy'. Si tratta di una regola di cruciale importanza che consente a tutti gli elementi presenti una pagina web (ad esempio il codice JavaScript) l'autorizzazione per l'accesso esclusivo alle risorse veicolate dalle pagine dello stesso sito. Non è invece assolutamente permesso l'accesso alle risorse di altri siti, visualizzate ad esempio nelle pagine HTML aperte nelle altre schede del browser.Brutta vulnerabilità in Internet Explorer: violata la 'same origin policy'
In questi giorni è emersa una pericolosa vulnerabilità di Internet Explorer, che interessa anche la versione più recente del browser (Internet Explorer 11), correttamente aggiornata con tutte le patch rilasciate da parte di Microsoft.Sfruttando la lacuna di sicurezza un aggressore può riuscire a leggere il contenuto delle informazioni gestite dagli altri siti aperti dall'utente nel browser, sottrarre le informazioni contenute nei cookie (ad esempio dati di autenticazione) e trasmetterle a terzi.
Affinché la vulnerabilità possa essere sfruttata è ovviamente necessario trovarsi a visitare un sito web malevolo, contenente il codice JavaScript capace di far leva sulla falla di sicurezza.
Un portavoce Microsoft ha confermato l'esistenza della problematica assicurando la risoluzione del problema nel più breve tempo possibile e spiegando che la protezione antiphishing di Internet Explorer (SmartScreen) già offre un livello di protezione aggiuntivo.
A tal proposito va detto che SmartScreen difficilmente, secondo noi, permetterà di proteggersi da attacchi non sferrati su larga scala.
Questa pagina mostra un esempio di un possibile attacco.
read full article
