Una pericolosa vulnerabilità di tipo “Cross-Site Scripting” affligge Internet Explorer 8. Il problema noto già da tempo agli esperti di sicurezza è però recentemente arrivato alle orecchie di siti e blog di tutto il mondo.
La falla riguarda il filtro XSS, lo stesso che Internet Explorer 8 dovrebbe utilizzare per proteggere gli utenti da attacchi di questo tipo: oltre al danno la beffa. Un sito Web maligno può infatti utilizzare la protezione XSS di IE8 per inserire del codice modificato in una qualsiasi altra pagina Web che utilizzi del codice JavaScript, a meno che il sito “vittima” non abbia indicato a IE8 di spegnere il filtro XSS. Le applicazioni di Google, ad esempio, sono già state “messe in sicurezza”.
Uno dei primi ad accorgersi della vulnerabilità è stato Giorgio Maone, autore delle estensioni (per Firefox) FlashGot e NoScript. Maone sul suo blog spiega la principale differenza tra il funzionamento di NoScript e la protezione anti-XSS di IE8. Mentre quest’ultimo intercetta le risposte dai server e le modifica per pulirle da eventuale codice maligno, NoScript intercetta le richieste del client e in questo modo non può essere ingannato da eventuali risposte modificate ad arte.
Maone fa inoltre notare come il problema non riguardi un baco nell’implementazione ma sia un difetto di progettazione del filtro. È questo il principale motivo dell’enorme ritardo di risposta (che ancora non c’è) di Microsoft, che pure è a conoscenza della vulnerabilità da alcuni mesi.
La soluzione non è quindi banale e all’utente non restano molte possibilità. Può confidare che i siti si premuniscano disabilitando il filtro di Internet Explorer con l’header “X-XSS-Protection: 0“. Oppure può passare ad un altro browser. Si accettano suggerimenti.
