In tutti i più noti browser è stata scoperta una potenziale vulnerabilità nell’implementazione di JavaScript. Il rischio è che siti malevoli sfruttino il problema per attacchi di phishing e truffe on-line.
Com’è accaduto qualche tempo addietro con diverse implementazioni dello standard IDN, è venuta alla luce una vulnerabilità di sicurezza che affligge tutti i principali browser sulla piazza, tra cui Internet Explorer, Firefox, Opera e Safari.
Il problema, scoperto dalla società di sicurezza Secunia, è causato dal fatto che le caselle di dialogo create con JavaScript “non visualizzano o includono informazioni sulla propria origine”: ciò può consentire ad un sito malevolo di aprire una dialog box che sembra provenire da un sito fidato.
Un malintenzionato potrebbe creare una pagina web contenente un link che, se cliccato, apre nel browser un sito noto e al di sopra di questo una casella di dialogo: in questo modo l’utente è portato a credere che quest’ultima sia stata lanciata dal sito fidato. La pericolosità di questa falla deriva dalla possibilità, per un webmaster senza scrupoli, di utilizzare la finestra JavaScript come casella di input per indurre l’utente a rivelare dati personali o numeri di carte di credito.
Nel proprio advisory Secunia fornisce il link a un test che può essere utilizzato per verificare se il proprio browser è tra quelli vulnerabili al problema: tra questi vi sono tutte le versioni di Camino e Firefox, Mozilla 1.7.x, Internet Explorer 5.x per Mac, Internet Explorer 6.x per Windows, Opera 7.x e 8.x, Safari 1.x, e iCab 2.x. La società di sicurezza danese sostiene tuttavia che potrebbero essere vulnerabili anche release precedenti a quelle elencate.
Fonte: Punto Informatico
