Microsoft prepara la patch per il cookiejacking

Giacomo Dotta,

La scoperta del ricercatore italiano Rosario Valotta ha consentito di scovare una nuova vulnerabilità su Internet Explorer 9: durante la conferenza “Hack in the box”, infatti, Valotta ha spiegato come la tecnica del “cookiejacking” possa consentire il furto di cookies su siti sui quali si è precedentemente effettuato il login.

Il pericolo potenziale è alto, poiché il furto dei cookie potrebbe consentire l’appropriazione dell’identità altrui con tutte le conseguenze che potrebbero derivarne su caselle di posta, servizi online ed altro ancora. Il pericolo reale, però, sarebbe al momento limitato e non tale pertanto da sollevare un immediato allarme da parte dei laboratori di Redmond. A tal fine, spiega Feliciano Intini da Blog TechNet, l’aggiornamento non giungerà tramite patch al di fuori del ciclo mensile di aggiornamento:

Si segnala che si sta già provvedendo a realizzare un aggiornamento correttivo: dal momento che non si tratta di una vulnerabilità di tipo Remote Code Execution (ma è di tipo Information Disclosure), che non è al momento attivamente sfruttata per attacchi, e che richiede una significativa interazione dell’utente per poter portare a termine l’attacco, mi sento di poter dire che l’update verrà fornito tramite un rilascio di sicurezza ordinario

Il prossimo patch day è previsto per il 14 giugno, ma non è detto che la patch in questione possa già essere pronta per la prossima tornata di update.

Fonte: Blog Technet • Notizie su: