Home » Sicurezza » Grave falla in tutti gli Internet Explorer 6-10

Grave falla in tutti gli Internet Explorer 6-10

Internet Explorer

Da qualche ora è stata data notizia di una nuova grave vulnerabilità che affligge tutte le release di Internet Explorer, il browser di Microsoft, dalla 6 fino alla recente 10.

La falla in oggetto permette di tracciare il movimento del mouse (mouse tracking) anche quando la pagina è ridotta a icona permettendo quindi di monitorare tutte le attività del mouse.

Può sembrare una falla di poco conto ma se si pensa ai sistemi Windows Mobile (e non solo) che sfruttano tastiere virtuali si può subito capire quanto può essere pericoloso riuscire a seguire tutti i click sulla tastiera: di fatto si ha un keylogger della tastiera virtuale sfruttando poche semplici righe di codice.

La vulnerabilità in oggetto è stata segnalata il 1° ottobre scorso al Centro di Sicurezza Microsoft che però ha replicato informando che al momento non prevedono lo sviluppo di una patch correttiva per tutte le release del Browser.

I ricercatori di spider.io che hanno scoperto la falla segnalano che attualmente viene largamente utilizzata da 2 grandi compagnie di statistiche e hanno realizzato un video e una pagina Web che consentono di vedere con i propri occhi cosa permette di fare l’utilizzo illecito di questa falla di sicurezza.

Qui trovate il video dove si vede che mentre l’utente compone un numero telefonico su un applicativo tutte le azioni compiute dal mouse vengono tracciate sulla pagina “malevola” in Internet Explorer.

A questo link, invece, potete trovare un Proof Of Concept della vulnerabilità. Se aprite il link con Internet Explorer e poi iniziate a fare altro vedrete che i movimenti del mouse che eseguite vengono correttamente tracciati.

 http://iedataleak.spider.io/demo

Qui di seguito, infine, un esempio di una pagina HTML che permette di sfruttare la vulnerabilità:

< !DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<title>Download</title>
<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
</head>
<body>
<div id="detector"></div>
</body>
</html>
 
Se non l’avete già fatto questa è l’ennesima motivazione che dovrebbe spingervi ad abbandonare Internet Explorer in virtù di browser più sicuri come Chrome o FireFox.

 

Ti è stato utile? Votalo!
[Voti: 0    Media Voto: 0/5]
Altro... falla, internet explorer, keylogger, proof of concept, Sicurezza, vulnerabilità
Chiudi