Dettagli tecnici.
[ZEUS News - www.zeusnews.it - 14-12-2001]
Per sfruttare questa falla è sufficiente il normale linguaggio HTML delle pagine Web; non occorrono script o altro, per cui è inutile tentare di difendersi disattivando Active Scripting, Java, ActiveX, Javascript e simili.
Salvando il file su disco, la vera natura del file viene rivelata.
Oy Online Solutions ha promesso di divulgare maggiori dettagli e forse una dimostrazione pratica entro qualche giorno.
In altre parole, il tipo di file (testo, grafica, audio) non viene identificato in base al nome del file, ma in base al Content-Type che viene trasmesso dal server web. Questo dicono le regole.
In Windows, invece, la scelta di come gestire un file avviene in modo diverso: guardandone l'estensione. Se un file ha l'estensione .exe è un programma, se ha l'estensione .pdf è un documento Acrobat, se ha l'estensione .jpg è un'immagine, e così via. Windows non esamina il contenuto del file per vedere se davvero si tratta di un documento del tipo indicato dall'estensione presente nel suo nome. E' per questo che se prendete un file MP3 e gli date l'estensione .doc, Windows lo passerà a Word per aprirlo invece di suonarlo con WinAmp o Media Player.
Il guaio è che integrando il browser nel sistema operativo, questi due metodi per riconoscere i file vengono usati insieme e un po' a casaccio. In alcuni casi, Internet Explorer guarda il Content-Type; in altri guarda l'estensione del nome del file. La trappola scatta quando un utente malintenzionato riesce ad assegnare a un file un content-type diverso da quello che gli spetterebbe: ad esempio assegnando il content-type text/html a un programma, che viene quindi eseguito e può fare qualsiasi cosa, compreso formattare il vostro disco rigido o installarvi una backdoor.
Questa falla, secondo Slashdot, è la diretta conseguenza del fatto che Microsoft ha scelto di ignorare gli standard per la gestione dei file scaricati dal Web (le cui specifiche sono disponibili qui) per imporre un proprio standard che le faceva comodo. Meditate, amici, meditate!
1 - Sembra un file di testo ma...
2 - Dettagli tecnici
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
|
||
|