Tweet
In Internet Explorer è stata individuata una nuova importante falla nella gestione dei cookie. A scoprirlo è stato il ricercatore italiano Rosario Valotta, che ne ha dato notizia nel corso dell’evento Hack in the Box 2011 di Amsterdam.
La vulnerabilità coinvolge tutte le versioni del browser, compreso Internet Explorer 9, su tutti i sistemi operativi Microsoft e premette a malintenzionati di rubare i cookie della sessione di navigazione dell’utente dopo averlo indotto a cliccare su elementi di una pagina Web che in realtà celano elementi dannosi. Tecnicamente questo tipo di attacco, denominato "cookiejacking", può essere applicato a qualsiasi sito Web: durante il convegno Valotta ha dimostrato come è possibile utilizzare la tecnica di attacco anche ad un sito popolare come Facebook, nascondendo il cookiejacking dietro un minigioco che nel giro di tre giorni gli ha consentito di trafugare più di 80 cookie.
Interpellata sul problema, Microsoft ha dichiarato che non si tratta di una vulnerabilità vera e propria in quanto richiede l’interazione delle vittima anziché l’esecuzione di codice remoto in automatico; l'azienda di Redmond sta comunque provvedendo alla realizzazione di un'apposita patch che risolverà il problema.
W.T.
La vulnerabilità coinvolge tutte le versioni del browser, compreso Internet Explorer 9, su tutti i sistemi operativi Microsoft e premette a malintenzionati di rubare i cookie della sessione di navigazione dell’utente dopo averlo indotto a cliccare su elementi di una pagina Web che in realtà celano elementi dannosi. Tecnicamente questo tipo di attacco, denominato "cookiejacking", può essere applicato a qualsiasi sito Web: durante il convegno Valotta ha dimostrato come è possibile utilizzare la tecnica di attacco anche ad un sito popolare come Facebook, nascondendo il cookiejacking dietro un minigioco che nel giro di tre giorni gli ha consentito di trafugare più di 80 cookie.
Interpellata sul problema, Microsoft ha dichiarato che non si tratta di una vulnerabilità vera e propria in quanto richiede l’interazione delle vittima anziché l’esecuzione di codice remoto in automatico; l'azienda di Redmond sta comunque provvedendo alla realizzazione di un'apposita patch che risolverà il problema.
W.T.
