Een kwetsbaarheid in Internet Explorer brengt gebruikersreferenties in gevaar, Microsoft werkt eraan dit te verhelpen

Vandaag is een nieuwe kwetsbaarheid in Internet Explorer aan het licht gekomen. Dit beveiligingslek is van toepassing op alle nieuwste versies van IE en geeft iedereen toegang tot inloggegevens van de gebruiker. Dit is een universele cross-site scripting (XSS)-bug en een proof-of-concept-exploit is onlangs op internet gepubliceerd.

Om de aanval te demonstreren, werd de inhoud van dailymail.co.uk gewijzigd door een extern domein.

Eenmaal in het bezit van de cookie, kan een aanvaller toegang krijgen tot dezelfde beperkte gebieden die normaal alleen beschikbaar zijn voor het slachtoffer, inclusief die met creditcardgegevens, browsegeschiedenis en andere vertrouwelijke gegevens. Phishers kunnen de bug ook misbruiken om mensen te misleiden om wachtwoorden voor gevoelige sites vrij te geven.

Microsoft is op de hoogte van deze bug en werkt al aan een oplossing.

We zijn niet op de hoogte dat dit beveiligingslek actief wordt misbruikt en werken aan een beveiligingsupdate. Om hier misbruik van te maken, zou een kwaadwillende de gebruiker eerst naar een kwaadaardige website moeten lokken, vaak via phishing. SmartScreen, dat standaard is ingeschakeld in nieuwere versies van Internet Explorer, helpt beschermen tegen phishing-websites. We blijven klanten aanmoedigen om het openen van links van niet-vertrouwde bronnen en het bezoeken van niet-vertrouwde sites te vermijden, en om uit te loggen wanneer ze sites verlaten om hun informatie te beschermen.

via: Ars Technica