آسیب‌پذیری در اینترنت اکسپلورر اعتبار کاربر را در معرض خطر قرار می‌دهد، مایکروسافت در حال تلاش برای رفع آن است

امروز یک آسیب پذیری جدید در اینترنت اکسپلورر فاش شد. این آسیب‌پذیری برای تمام آخرین نسخه‌های IE قابل استفاده است و به هر کسی اجازه می‌دهد به اعتبار ورود کاربر دسترسی داشته باشد. این یک اشکال جهانی اسکریپت نویسی متقابل (XSS) است و یک سوء استفاده اثبات مفهوم اخیرا در وب منتشر شده است.

برای نشان دادن این حمله، محتوای dailymail.co.uk توسط دامنه خارجی تغییر یافت.

هنگامی که مهاجم کوکی را در اختیار داشته باشد، می تواند به همان مناطق محدود شده دسترسی داشته باشد که معمولاً فقط در دسترس قربانی است، از جمله مناطقی که اطلاعات کارت اعتباری، تاریخچه مرور و سایر داده های محرمانه را دارند. فیشرها همچنین می توانند از این باگ برای فریب دادن افراد برای افشای رمزهای عبور سایت های حساس سوء استفاده کنند.

مایکروسافت از این باگ آگاه است و در حال حاضر روی رفع آن کار می کند.

ما از این آسیب پذیری که به طور فعال مورد سوء استفاده قرار گرفته است آگاه نیستیم و در حال کار بر روی یک به روز رسانی امنیتی هستیم. برای سوء استفاده از این، یک دشمن ابتدا باید کاربر را به یک وب سایت مخرب، اغلب از طریق فیشینگ، فریب دهد. SmartScreen که به طور پیش‌فرض در نسخه‌های جدید اینترنت اکسپلورر روشن است، به محافظت در برابر وب‌سایت‌های فیشینگ کمک می‌کند. ما همچنان مشتریان را تشویق می‌کنیم که از باز کردن پیوندها از منابع نامعتبر و بازدید از سایت‌های غیرقابل اعتماد خودداری کنند و هنگام خروج از سایت‌ها برای کمک به محافظت از اطلاعات خود از سیستم خارج شوند.

از طریق: ARS TECHNICA