Durante l’imminente Black Hat security conference si prevedono fitte nubi nere su Internet Explorer e Safari.
Jeremiah Grossman, esperto di sicurezza e capo tecnico della WhiteHat Security, ha infatti in serbo una serie di dimostrazioni sulle debolezze più gravi di tutti i browser più diffusi, con trattamenti di riguardo per Safari e Internet Explorer.
Il browser di Apple e le precedenti versioni del suo corrispondente Microsoft, avrebbero un’enorme falla nella gestione dell’auto completamento dei moduli online.
Secondo Grossman basta infatti simulare con un apposito codice javascript la pressione di alcuni tasti (lettere o numeri su Safari, “freccia giù” su Internet Explorer) per far completare automaticamente i campi dei moduli. Il codice in pratica si comporta come farebbe un utente che inizia a digitare i dati e poi sceglie la voce “pronta” dal menu dell’auto completamento. Una volta avuto accesso ai dati basta inviarli a un server remoto e il furto è servito.
La vulnerabilità non colpisce Internet Explorer 8 (sempre tenersi aggiornati) mentre riguarda anche l’ultimo update di Safari. Apple è stata avvisata dallo stesso Grossman il 17 luglio scorso, ma da Cupertino non si è ancora avuta risposta.
Meno gravi, ma pur sempre di falle di tratta, le vulnerabilità che riguardano Firefox e Chrome. Questa volta a essere trafugate potrebbero essere le password, ma il procedimento non è così semplice: una pagina Web creata ad arte potrebbe sì rubare alcune password memorizzate, ma a patto che i siti a cui le password appartengono siano affetti a loro volta da una vulnerabilità di tipo cross-site scripting.
Ultima chicca la cancellazione dei cookie da remoto. Firefox ne contiene al massimo 3.000 e bastano due secondi e mezzo per generarne altrettanti e far sì che il browser per fare spazio cancelli tutti quelli vecchi.