Инженеры Microsoft работают над исправлением опасной уязвимости, обнаруженной в Internet Explorer, которая позволяет злоумышленникам красть учетные данные пользователей.
Недавно обнаруженная серьезная уязвимость безопасности в полностью исправленных версиях Internet Explorer позволяет злоумышленникам красть учетные данные пользователей или проводить фишинговые атаки через любой веб-сайт.
Рекомендуемые
- Windows 10 слишком популярна сама по себе?
- 5 способов найти лучшее место для начала карьеры
- Вот как генеративный ИИ изменит гиг-экономику к лучшему
- 3 причины, почему я предпочитаю этот Android за 300 долларов Google Pixel 6a
Уязвимость, которая затрагивает полностью исправленные версии IE 11, работающие как в Windows 7, так и в Windows 8.1, была обнаружена исследователем безопасности Дэвидом Лео из охранной компании Deusen. Подробности о полном раскрытии информацииУязвимость Internet Explorer позволяет хакерам обойти политику одного и того же происхождения — фундаментальный элемент веб-приложений. включая систему IE, которая предназначена для предотвращения межсайтовой подделки, а также запуска сценариев или внедрения вредоносного контента в веб-сайты.
Уязвимость представляет собой универсальный недостаток межсайтового скриптинга (XSS). Другими словами, злоумышленник может выполнить заскриптованный контент и внедрить код на веб-сайт. Полный доказательство концепции Пример, опубликованный Лео, продемонстрировал ошибку при посещении онлайн-домена Daily Mail. Лео использовал уязвимость, чтобы добавить на сайт слова «Hacked by Deusen».
Благодаря уязвимости XSS исследователь безопасности смог изменить содержимое сайта извне, а из-за серьезного характера уязвимости, ее также можно использовать для кражи содержимого веб-сайта, такого как файлы cookie аутентификации или данные для входа, введенные пользователем во время сеанс браузера.
Это может не только привести к краже учетных записей пользователей, но и HTML и файлы cookie, полученные хакером, могут затем использоваться в вполне законных фишинговых кампаниях. Однако для того, чтобы жертву обманом заставили посетить вредоносный веб-сайт, ей необходимо щелкнуть ссылку. но в современном мире, полном сокращенных URL-адресов и социальных сетей, добиться этого не обязательно сложно.
Старший инженер по безопасности Tumblr Джои Фаулер отреагировал на раскрытие, заявив, что, хотя «есть свои особенности, это определенно работает». Помимо обхода политики одного и того же происхождения, ошибка также обходит стандартные ограничения HTTP-HTTPS, если фреймируемая страница не содержит заголовков X-Frame-Options с «deny» или «same-origin». ценности.
По словам Лео, Microsoft была уведомлена 13 октября 2014 г.
Инженеры Microsoft в настоящее время работают над решением, позволяющим закрыть дыру в безопасности. Представитель Microsoft сообщил ZDNet:
«Чтобы успешно воспользоваться этой проблемой, злоумышленнику сначала необходимо заманить человека, часто с помощью обмана, такого как фишинг, на созданный им вредоносный веб-сайт. SmartScreen, включенный по умолчанию в новых версиях Internet Explorer, помогает защититься от гнусных фишинговых веб-сайтов.
Нам неизвестно об активном использовании этой уязвимости, и мы работаем над ее устранением с помощью обновления. Мы по-прежнему рекомендуем клиентам избегать открытия ссылок из ненадежных источников и посещения ненадежных сайтов, а также выходить из системы при выходе с сайтов, чтобы защитить свою информацию».
Читать дальше: В мире безопасности
- Большинство предприятий США уязвимы для инсайдерских угроз
- Более 90 процентов утечек данных в первой половине 2014 года можно было предотвратить.
- Громкость, бравада и нарушения: современные «террористы» в сфере кибербезопасности
- Вредоносное ПО для мобильных устройств растет во всем мире, программы-вымогатели находятся в центре внимания
Читайте дальше: Исправления и недостатки
- Oracle выпускает критическое обновление патча: 169 новых исправлений безопасности
- Обнаружены уязвимости VLC
- Microsoft раскритиковала Google за раскрытие информации об уязвимости безопасности Windows 8.1