• Rischio privacy per IE e Safari

    jeremiah_grossman.jpg

    Durante l’imminente Black Hat security conference si prevedono fitte nubi nere su Internet Explorer e Safari.

    Jeremiah Grossman, esperto di sicurezza e capo tecnico della WhiteHat Security, ha infatti in serbo una serie di dimostrazioni sulle debolezze più gravi di tutti i browser più diffusi, con trattamenti di riguardo per Safari e Internet Explorer.

    Il browser di Apple e le precedenti versioni del suo corrispondente Microsoft, avrebbero un’enorme falla nella gestione dell’auto completamento dei moduli online.

    Secondo Grossman basta infatti simulare con un apposito codice javascript la pressione di alcuni tasti (lettere o numeri su Safari, “freccia giù” su Internet Explorer) per far completare automaticamente i campi dei moduli. Il codice in pratica si comporta come farebbe un utente che inizia a digitare i dati e poi sceglie la voce “pronta” dal menu dell’auto completamento. Una volta avuto accesso ai dati basta inviarli a un server remoto e il furto è servito.

    La vulnerabilità non colpisce Internet Explorer 8 (sempre tenersi aggiornati) mentre riguarda anche l’ultimo update di Safari. Apple è stata avvisata dallo stesso Grossman il 17 luglio scorso, ma da Cupertino non si è ancora avuta risposta.

    Meno gravi, ma pur sempre di falle di tratta, le vulnerabilità che riguardano Firefox e Chrome. Questa volta a essere trafugate potrebbero essere le password, ma il procedimento non è così semplice: una pagina Web creata ad arte potrebbe sì rubare alcune password memorizzate, ma a patto che i siti a cui le password appartengono siano affetti a loro volta da una vulnerabilità di tipo cross-site scripting.

    Ultima chicca la cancellazione dei cookie da remoto. Firefox ne contiene al massimo 3.000 e bastano due secondi e mezzo per generarne altrettanti e far sì che il browser per fare spazio cancelli tutti quelli vecchi.

    Tags:

    Se vuoi aggiornamenti su Rischio privacy per IE e Safari inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Piero dice:

      Provate questa demo e fateci sapere.

      http://ha.ckers.org/weird/safari_autofill.html

    2. ghostdog dice:

      ma firefox non l’hanno ancora fixato?

    Commenta

    Your email address will not be published. Required fields are marked *