פגיעות ב-Internet Explorer מסכנת את אישורי המשתמש, מיקרוסופט עובדת כדי לתקן אותה

פגיעות חדשה ב-Internet Explorer נחשפה היום. פגיעות זו חלה על כל הגרסאות העדכניות ביותר של IE והיא מאפשרת לכל אחד לגשת לאישורי התחברות של המשתמש. זהו באג אוניברסלי חוצה אתרים (XSS) וא ניצול הוכחת מושג פורסם לאחרונה באינטרנט.

כדי להדגים את המתקפה, התוכן של dailymail.co.uk שונה על ידי דומיין חיצוני.

ברגע שהוא מחזיק בקובץ ה-cookie, תוקף יכול לגשת לאותם אזורים מוגבלים שזמינים בדרך כלל רק לקורבן, כולל אלו עם נתוני כרטיס אשראי, היסטוריית גלישה ונתונים סודיים אחרים. דיוגים יכולים גם לנצל את הבאג כדי להערים על אנשים לחשוף סיסמאות לאתרים רגישים.

מיקרוסופט מודעת לבאג זה וכבר עובדת על תיקון.

איננו מודעים לניצול פעיל של הפגיעות הזו ועובדים על עדכון אבטחה. כדי לנצל זאת, יריב יצטרך קודם כל לפתות את המשתמש לאתר זדוני, לרוב באמצעות דיוג. SmartScreen, המופעל כברירת מחדל בגרסאות חדשות יותר של Internet Explorer, מסייע בהגנה מפני אתרי דיוג. אנו ממשיכים לעודד לקוחות להימנע מפתיחת קישורים ממקורות לא מהימנים ומביקור באתרים לא מהימנים, ולהתנתק בעת עזיבת אתרים כדי לסייע בהגנה על המידע שלהם.

בְּאֶמצָעוּת: Ars Technica