Luka w Internet Explorerze naraża dane uwierzytelniające użytkownika na ryzyko, Microsoft pracuje nad jej naprawą

Ikona czasu czytania 2 minuta. czytać

Ikona kalendarza Opublikowany 3 lutego 2015 r.

opublikowane w dniu 3 lutego 2015 r.

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków.

W dniu dzisiejszym ujawniono nową lukę w Internet Explorerze. Ta luka dotyczy wszystkich najnowszych wersji IE i umożliwia każdemu dostęp do danych logowania użytkownika. Jest to uniwersalny błąd cross-site scripting (XSS) i exploit weryfikacji koncepcji został niedawno opublikowany w sieci.

Aby zademonstrować atak, zawartość serwisu dailymail.co.uk została zmieniona przez domenę zewnętrzną.

Posiadając plik cookie, osoba atakująca może uzyskać dostęp do tych samych obszarów o ograniczonym dostępie, które zwykle są dostępne tylko dla ofiary, w tym do tych z danymi kart kredytowych, historiami przeglądania i innymi poufnymi danymi. Phisherzy mogą również wykorzystać ten błąd, aby nakłonić ludzi do ujawnienia haseł do wrażliwych witryn.

Microsoft jest świadomy tego błędu i już pracuje nad poprawką.

Nie wiemy o aktywnym wykorzystywaniu tej luki i pracujemy nad aktualizacją zabezpieczeń. Aby to wykorzystać, przeciwnik musiałby najpierw zwabić użytkownika na szkodliwą stronę internetową, często poprzez phishing. SmartScreen, który jest domyślnie włączony w nowszych wersjach programu Internet Explorer, pomaga chronić przed witrynami internetowymi służącymi do wyłudzania informacji. Wciąż zachęcamy klientów do unikania otwierania linków z niezaufanych źródeł i odwiedzania niezaufanych witryn, a także do wylogowywania się przy opuszczaniu witryn, aby chronić swoje informacje.

przez: Ars Technica

Więcej na tematy: internet explorer, Microsoft, bezpieczeństwo, aktualizacja, wrażliwość