Un bug di programmazione nel browser Microsoft Internet Explorer fornisce ad hackers malintenzionati un facile modo per eseguire l'hijack di informazioni sensibili ai danni dell'utente sfruttando il software Google Desktop.
Matan Gillon, un hacker israeliano, ha scoperto una vulnerabilità nella protezione cross-domain di Internet Explorer e ha pubblicato un codice exploit proof-of-concept che mostra come si possa facilmente violare il programma gratuito di ricerca desktop del colosso della ricerca. L'exploit risulta funzionante anche nelle ultime versioni di Internet Explorer, con le impostazioni di sicurezza e privacy predefinite, e Google Desktop v2.
Gillon ha pubblicato una spiegazione dettagliata della vulnerabilità e ha avvertito che un eventuale attacker che voglia sfruttarla necessita semplicemente di confezionare un sito ad hoc ed indurre gli utenti a visitarlo. "Much like classic XSS (cross site scripting) holes, this design flaw in IE allows an attacker to retrieve private user data or execute operations on the [user's] behalf on remote domains".
Un portavoce di Microsoft ha fatto sapere che l'azienda è a conoscenza del problema ma non ha rilevato attualmente attacchi che lo sfruttano. Microsoft potrebbe rilasciare presto un Security Advisory dedicato per fornire workarounds temporanei preventivi.
Il bug viene descritto come una design flaw che consente una violazione del modello di sicurezza cross-domain di IE. Gillon spiega che IE non esegue correttamente il parsing dei files CSS (cascading style sheet) e consente l'importazione di files non validi. Il buco di sicurezza permette agli attackers di eseguire codice HTML e script da un sito remoto importato impropriamente come file CSS. Questo sito può anche trovarsi in un diverso dominio rispetto a quello in cui viene eseguito l'exploit. Gillon ha usato l'utility Google Desktop per dimostrare la vulnerabilità, ma in teoria qualsiasi dominio o applicazione che si appoggia al modello di sicurezza cross-domain di IE risualta potenzialmente vulnerabile.
Sonya Boralv, portavoce di Google, afferma che le indagini iniziali hanno mostrato che il problema risiede in IE e non è causato da bugs di Google Desktop. Mozilla Firefox sembra non essere affetto dal problema perché conserva le restrizioni di dominio durante l'importazione dei fogli di stile. Opera invece non è vulnerabile in quanto non supporta questo tipo di funzionalità per i CSS.
L'unica modo di proteggersi al momento è disabilitare il supporto JavaScript in IE od usare una altro browser.
http://www.tweakness.net/topic.php?id=1804
Matan Gillon, un hacker israeliano, ha scoperto una vulnerabilità nella protezione cross-domain di Internet Explorer e ha pubblicato un codice exploit proof-of-concept che mostra come si possa facilmente violare il programma gratuito di ricerca desktop del colosso della ricerca. L'exploit risulta funzionante anche nelle ultime versioni di Internet Explorer, con le impostazioni di sicurezza e privacy predefinite, e Google Desktop v2.
Gillon ha pubblicato una spiegazione dettagliata della vulnerabilità e ha avvertito che un eventuale attacker che voglia sfruttarla necessita semplicemente di confezionare un sito ad hoc ed indurre gli utenti a visitarlo. "Much like classic XSS (cross site scripting) holes, this design flaw in IE allows an attacker to retrieve private user data or execute operations on the [user's] behalf on remote domains".
Un portavoce di Microsoft ha fatto sapere che l'azienda è a conoscenza del problema ma non ha rilevato attualmente attacchi che lo sfruttano. Microsoft potrebbe rilasciare presto un Security Advisory dedicato per fornire workarounds temporanei preventivi.
Il bug viene descritto come una design flaw che consente una violazione del modello di sicurezza cross-domain di IE. Gillon spiega che IE non esegue correttamente il parsing dei files CSS (cascading style sheet) e consente l'importazione di files non validi. Il buco di sicurezza permette agli attackers di eseguire codice HTML e script da un sito remoto importato impropriamente come file CSS. Questo sito può anche trovarsi in un diverso dominio rispetto a quello in cui viene eseguito l'exploit. Gillon ha usato l'utility Google Desktop per dimostrare la vulnerabilità, ma in teoria qualsiasi dominio o applicazione che si appoggia al modello di sicurezza cross-domain di IE risualta potenzialmente vulnerabile.
Sonya Boralv, portavoce di Google, afferma che le indagini iniziali hanno mostrato che il problema risiede in IE e non è causato da bugs di Google Desktop. Mozilla Firefox sembra non essere affetto dal problema perché conserva le restrizioni di dominio durante l'importazione dei fogli di stile. Opera invece non è vulnerabile in quanto non supporta questo tipo di funzionalità per i CSS.
L'unica modo di proteggersi al momento è disabilitare il supporto JavaScript in IE od usare una altro browser.
http://www.tweakness.net/topic.php?id=1804