QR code per la pagina originale

Anche Google ha la sua falla

Nessuno è perfetto, e così anche Google deve intervenire per porre rimedio ad una falla riscontrata nel codice elaborato a Mountain View. Il mancato filtro di codici Javascript all'interno degli URL ha messo in serio pericolo gli utenti.

,

La buona notizia è che il tutto si tratta ormai di un pericolo scampato. La cattiva notizia è invece il fatto che gli utenti Google aventi in dote l’installazione di Google Desktop Search hanno corso un pericolo di un certo rilievo a causa di una mancata restrizione nel software di ricerca. Un’ingenuità, quella di Google, che fortunatamente risulta essere stata risolta prima che pericolose conseguenze potessero manifestarsi.

Il problema consiste nel mancato controllo degli URL che il tool è in grado di indicizzare: nella fattispecie il non controllo di eventuali codici Javascript interni all’indirizzo avrebbero potuto portare a serie conseguenze sia in termini di visualizzazione della pagina, che in quanto ad eventuali azioni di phishing (particolarmente pericolose nel caso in cui il malintenzionato riesca a sfruttare la fiducia che l’utente depone su un marchio quale Google).

Il bug è stato inizialmente riportato sul blog di Jim Ley e l’autore riporta un esempio di come il codice possa colpire la falla (peraltro già nota da tempo negli ambienti di Google): digitando un url del tipo http://www.google.com/custom?cof=L:javascript:javascript:alert(‘EEK!’), ad esempio, era possibile creare un innocuo avviso sulla pagina. Ora, però, non più: l’url non comporta alcuna conseguenza in quanto il bug è stato risolto.

Uno degli orizzonti configurabili vedeva però il codice Javascript creare un alert in grado di ottenere numeri di carte di credito o altri dati particolarmente pericolosi. Secondo l’avviso gli utenti maggiormente a rischio sarebbero stati quelli dotati di Internet Explorer, ma si specifica altresì come la falla sia da addebitarsi esclusivamente a Google e non al già martoriato IE.