IUnternet Explorer 7.0, sia su piattaforma XP che su Vista, risulta vulnerabile ad una particolare tecnica che alcuni malintenzionati potrebbero sfruttare per mettere in atto frodi online e phishing. Il phishing č l´ultima frontiera delle frodi on-line, con la quale i pirati informatici tentano di carpire user-name e password di ignari utenti, per la connessione a siti generalmente di istituti bancari.
Il phishing č una tecnica che generalmente, sfrutta l´invio di una finta mail che sembra provenire dal nostro istituto bancario, nella quale ci viene richiesto di inserire user e password di accesso.
Il browser made in Microsoft sarebbe interessato da una vulnerabilitā di tipo cross-site scripting, stando alla dichiarazione dello scopritore del bug, Aviv Raff programmatore ed esperto di sicurezza.
Il problema č insito nella pagina locale "navcancl.htm". Una pagina che viene caricata dal browser stesso quando un sito risulta essere irraggiungibile, ma che se fosse stata contraffatta potrebbe portare la vittima ad un sito esterno maligno.
Tale pagina presenta al proprio interno uno script, generato dal sistema quando una pagina internet risulta non raggiungibile, che consente il refresh della stessa.
Un malintenzionato potrebbe, attraverso la tecnica del cross-site scripting iniettare uno script nel link "aggiornare la pagina" ed eseguire di conseguenza attacchi mirati di phishing, ma fortunatamente non l´esecuzione di codice arbitrario in remoto.
Tale attacco potrebbe permettere ad un hacker di re-indirizzare le proprie vittime verso pagine del tutto simili a quelle di istituiti bancari o postali.
fonte
ianeta pc