Cerca nel blog

2006/06/07

Provate questo trucco di IE e preoccupatevi

Internet Explorer rivela una nuova stranezza. O vulnerabilità?

Questo articolo vi arriva grazie alle gentili donazioni di "fulvioro*****" e "giodi".

Come molti, anch'io sconsiglio da anni l'uso di Internet Explorer per motivi di sicurezza, e uno di questi motivi è da sempre la sua profonda integrazione in Windows: la buona progettazione, infatti, esige che il browser sia separato dal sistema operativo e sia un'applicazione come tutte le altre. L'altro motivo, come testimoniato da quello che sto per raccontarvi, è che per via di quest'integrazione IE è pieno di magagne e comportamenti imprevedibili che creano trappole assolutamente inattese, contro le quali la semplice competenza informatica non basta.

Infoworld, infatti, segnala un comportamento che ha stupito anche gli esperti di Microsoft: digitando un indirizzo in Internet Explorer 6 (e anche in IE 7 beta), può succedere che invece di visitare il sito corrispondente all'indirizzo, IE lanci un programma (magari ostile) presente nel computer.

Esempio pratico:
  • Cliccate col pulsante destro sul desktop di Windows e scegliete Nuovo > Collegamento.
  • Impostate il collegamento in modo che lanci la Calcolatrice (calc.exe).
  • Come nome del collegamento, scegliete www.microsoft.com.
  • Lanciate Internet Explorer e digitate www.microsoft.com nella barra dell'indirizzo.
  • Invece di andare al sito Microsoft, viene lanciata la Calcolatrice.
Questo non dovrebbe succedere. Un browser non deve lanciare un programma locale quando gli si digita l'indirizzo di un sito. E' come pigiare il clacson dell'auto e constatare con orrore che si disinnesta il freno a mano. E' abbastanza evidente che questo comportamento può essere sfruttato da un aggressore per farvi lanciare un programma ostile di sua scelta.

Infoworld ne ha discusso con gli esperti Microsoft, che sono rimasti in maggioranza sorpresi di questo comportamento. Si è notato che si manifesta soltanto quando non viene digitato http:// prima del nome del sito, e questo fa pensare che IE faccia vari tentativi d'interpretare la digitazione dell'utente: uno di questi tentativi guarderebbe il Desktop per vedere se contiene un collegamento corrispondente alla digitazione. Se non lo trova sul Desktop, allora lo va a cercare su Internet. Ma se lo trova, lo esegue, scavalcando completamente il funzionamento atteso del browser.

Di per sé non è un pericolo grave (l'aggressore deve comunque avere già accesso al computer della vittima con qualche altro metodo), ma è un sintomo di una filosofia di progettazione che nonostante tutto non è ancora orientata realmente alla sicurezza; il fatto che questo comportamento sia presente anche nella prossima versione di IE (la 7, attualmente disponibile come beta) non promette bene per il futuro. Ogni comportamento non documentato è una possibile trappola per l'utente.

Nessun commento: