En sårbarhet i Internet Explorer sätter användaruppgifter i fara, Microsoft arbetar med att åtgärda det

En ny sårbarhet i Internet Explorer avslöjades idag. Denna sårbarhet är tillämplig på alla de senaste versionerna av IE och den tillåter vem som helst att få åtkomst till användarens inloggningsuppgifter. Detta är en universell cross-site scripting (XSS) bugg och en proof-of-concept exploatering publicerades nyligen på webben.

För att demonstrera attacken ändrades innehållet på dailymail.co.uk av en extern domän.

En gång i besittning av cookien kunde en angripare komma åt samma begränsade områden som normalt endast är tillgängliga för offret, inklusive de med kreditkortsdata, webbläsarhistorik och annan konfidentiell data. Nätfiskare kan också utnyttja felet för att lura människor att avslöja lösenord för känsliga webbplatser.

Microsoft är medveten om denna bugg och arbetar redan med en fix.

Vi är inte medvetna om att denna sårbarhet utnyttjas aktivt och arbetar på en säkerhetsuppdatering. För att utnyttja detta måste en motståndare först locka användaren till en skadlig webbplats, ofta genom nätfiske. SmartScreen, som är på som standard i nyare versioner av Internet Explorer, hjälper till att skydda mot nätfiskewebbplatser. Vi fortsätter att uppmuntra kunder att undvika att öppna länkar från otillförlitliga källor och besöka opålitliga webbplatser, och att logga ut när de lämnar webbplatser för att skydda deras information.

via: Ars Technica