IE e Google Desktop, attenti a quei due
Tel Aviv (Israele) - Internet Explorer, che esce da un periodo poco felice, è nuovamente finito sotto la lente degli Sherlock Holmes della sicurezza. Questa volta a destare preoccupazione è una modalità con cui Internet Explorer gestisce le informazioni relative al layout delle pagine Web, informazioni codificate con il noto formato standard Cascading Style Sheets (CSS).
Il ricercatore di sicurezza israeliano Matan Gillon ha spiegato in questo advisory che un sito web potrebbe sfruttare il problema per sottrarre ad un utente dati personali, come numeri di carta di credito e password. La falla diventa però seriamente pericolosa solo se nel PC dell'utente si trova installato anche Google Desktop v2, motore di ricerca personale che, benché molto giovane, conta già moltissimi utenti.
"Grazie al grave difetto di progettazione di IE, sono riuscito a dimostrare come sia possibile utilizzare Google Desktop per cercare segretamente tra i file di un utente", ha affermato Gillon, che nel proprio advisory riporta anche il link ad un exploit dimostrativo.
Il ricercatore sostiene infatti che un abile cracker potrebbe, attraverso un sito web, accedere alla chiave privata di un utente di Google Desktop e utilizzarla in congiunzione al baco di IE per impossessarsi di dati e documenti memorizzati sul PC della vittima: i contenuti a cui un aggressore può accedere sono quelli indicizzati dal ragno desktop di Google, e tra questi possono figurare anche le e-mail. A rischiare un attacco di questo tipo sono quegli utenti che utilizzano IE6 come browser predefinito di Google Desktop v2, ma Gillon sostiene che la vulnerabilità potrebbe interessare anche altre versioni di IE. Risultano invece immuni dal problema gli altri più importanti browser sulla piazza, come Firefox e Opera.
In attesa che Microsoft rilasci una patch, l'hacker israeliano suggerisce agli utenti a rischio di disattivare in IE l'esecuzione dei Javascript (opzione Esecuzione script attivo) o di utilizzare un altro browser.
Sebbene il bug sia contenuto in IE, Gillon non risparmia critiche al modello di sicurezza adottato da Google nel proprio tool di ricerca personale: modello per altro già messo in discussione da altri esperti fin dal rilascio di Google Desktop.
Dal canto suo, Microsoft conta di ridurre drasticamente i problemi di sicurezza legati ad IE con il rilascio dell'ormai imminente versione 7 del proprio browser che porterà con sé, fra le altre cose, una modalità di esecuzione con privilegi ridotti, un sistema antiphishing e una più robusta implementazione del protocollo SSL (Secure Socket Layer).
Proprio in questi giorni Google ha aggiunto al proprio servizio Gmail uno scanner antivirus che tenta di rimuovere gli allegati potenzialmente dannosi e, nel caso ciò non sia possibile, blocca il messaggio.
Articoli correlati
- Utilizzati profili falsi per indurre le persone a rivelare dati privati
“Cyber mercenari” hanno spiato migliaia di utenti Facebook
Campagne di spionaggio in più di 100 nazioni per conto di agenzie governative o clienti privati hanno coinvolto anche amici e familiari degli obiettivi. Sono stati sospesi circa 1.500 account, per lo più falsi, gestiti da sette organizzazioni su Facebook, Instagram e WhatsApp.17 dicembre 2021 - AGI (Agenzia Giornalistica Italia) - I servizi segreti americani possono ascoltare le persone tramite i microfoni delle smart TV
La CIA ci spia (e non vuole più andare via)
Joshua Adam Schulte è in carcere per aver passato a Wikileaks oltre 8 mila pagine di documenti top-secret che rivelano come la CIA possieda la capacità di violare la segretezza della corrispondenza non solo su WhatsApp e Telegram ma anche su Signal. Il caso Vault 7 è gravissimo.5 settembre 2021 - Redazione PeaceLink Le missioni di Leonardo (ma non solo) dettate dal Piano nazionale di ripresa e resilienza
Sia che la minaccia provenga dal cyberspazio che dal Mediterraneo, Leonardo ne individua i rischi e offre le soluzioni10 giugno 2021 - Rossana De Simone- La sicurezza degli Stati passa attraverso il controllo capillare del territorio
Per una critica dell’innovazione capitalistica: il lavoro nella catena del valore delle armi
La nozione di sviluppo tecnologico è una nozione inscindibile da quella di sviluppo capitalistico, si trattava pertanto di smascherare la presunta neutralità della scienza29 marzo 2021 - Rossana De Simone
Sociale.network