Michal Zalewski, noto bug hunter polacco, ha scoperto due nuove vulnerabilità che affliggono Internet Explorer e Firefox, tra le quali vi è inclusa una falla «critical» che colpisce il browser di Microsoft, versione 7 compresa, e una falla «major» presente in Firefox, anche se aggiornato alla versione 2.0.0.4.
Internet Explorer presenta una vulnerabilità critica capace di permettere ad utenti malintenzionati di eseguire codice Javascript nel computer delle vittime e un’altra vulnerabilità minore capace di falsificare l’indirizzo che appare nella barra degli indirizzi. La prima vulnerabilità insita in Firefox, e definita “major”, riguarda il modo in cui il browser gestisce gli IFRAME e potrebbe essere sfruttata da siti malintenzionati per intercettare i tasti premuti dall’utente oppure per visualizzare nella pagina dei contenuti falsi. La seconda vulnerabilità riguarda la gestione del timeout implementato durante la visualizzazione di alcuni messaggi e potrebbe portare l’utente a scaricare inavvertitamente codice non desiderato o malevolo.
Nel caso un codice Javascript istruisca Internet Explorer a navigare da una pagina che rispetta una determinata SOP ad un sito di terze parti, v’è un breve periodo di tempo nel quale un attacker potrebbe eseguire del codice Javascript che utilizza i permessi della vecchia pagina ma con i contenuti della nuova. I danni possibili in tal caso sono molteplici: leggere o modificare i cookie dell’utente, iniettare del codice nel computer della vittima, oppure mandare in crash il browser. «In altre parole, l’intero modello di sicurezza del browser crolla come un castello di carta», scrive Zalewski, «e rende vulnerabili a tutta una serie di sgradevoli attacchi». La vulnerabilità, che Zalewski definisce «divertente», è presente in Internet Explorer 6 e 7, anche se adeguatamente aggiornati. Zalewski propone un link in grado di eseguire una dimostrazione della vulnerabilità illustrata.
Firefox permette a siti di terze parti di rimpiazzare gli IFRAME incorporati su siti non correlati attraverso l’utilizzo del metodo document.write(). Il problema era stato scoperto nel 2006 ed avrebbe dovuto essere stato risolto, ma è ancora possibile eseguire un attacco contro about:blank e gli altri IFRAME durante la fase di caricamento. Gli attacchi che possono essere condotti sfruttando tale vulnerabilità vanno dalla visualizzazione di contenuti distruttivi o fasulli alla intercettazione dei tasti premuti dall’utente, azione quest’ultima che diventa particolarmente rilevante nel caso l’utente utilizzi un sito per digitare informazioni sensibili quali password oppure coordinate bancarie. Anche quest’ultima vulnerabilità è stata illustrata da Zalewski attraverso un test di esempio.