Новости Software

IE 11 содержит опасную уязвимость

В актуальной версии Internet Explorer присутствует уязвимость межсайтового скриптинга (XSS), которая позволяет обойти политику единства происхождения. С помощью бреши злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе.

Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует её действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нём отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.

Таким же образом хакер может, например, подменить страницу банка, встроив в неё форму для ввода имени, пароля и даже защитного кода, полученного пользователем по SMS. Клиент при этом будет видеть в адресной строке URL своего банка и не заподозрит подвох.

Помимо этого уязвимость позволяет владельцу сайта, который посетил пользователь IE, получить данные из cookie-файлов, также содержащих важную конфиденциальную информацию (логин, пароль, номер телефона и пр).

Microsoft отреагировала на сообщение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, а также что она не получала уведомлений о её использовании для нанесения вреда. «Мы призываем клиентов не открывать ссылки, полученные от ненадёжных источников, а также не посещать сайты, которые не вызывают доверия», — заявили в корпорации.

Представитель компании Sucuri Даниэль Сил (Daniel Cid) и ещё несколько экспертов по информационной безопасности отметили, что владельцы веб-сайтов могут самостоятельно защититься от эксплуатации данной уязвимости с помощью специальных элементов кода, таких как заголовок X-Frame-Options со значением “deny” или “same-origin”. По словам Сида, этот заголовок сейчас используется крайне редко.

Патч к данной уязвимости, скорее всего, выйдет 10 февраля, когда Microsoft будет выпускать обновления безопасности для своих продуктов.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Глава Volkswagen считает, что расширение производства отнимет у Tesla слишком много ресурсов 14 мин.
Tesla начала сокращать специалистов, занятых в разработке систем активной помощи водителю 2 ч.
Акции Qualcomm выросли после сообщения о неудачах Apple в разработке собственных 5G-модемов для iPhone 8 ч.
Новая статья: Топ-10 смартфонов дешевле 10 тысяч рублей (2022 год) 8 ч.
Arm представила процессорные ядра Cortex-X3 и Cortex-A715 для мобильных чипов нового поколения 8 ч.
Мини-облако в космосе — AWS и Axiom Space успешно протестировали edge-систему Snowcone на МКС 9 ч.
EVGA выпустила переходник с четырёх 8-pin разъёмов на 12+4-pin для питания видеокарт GeForce RTX 3090 Ti FTW3 9 ч.
Intel пообещала добавить поддержку технологии Smart Access Memory видеокартам Arc Alchemist 10 ч.
Gigabyte и EVGA представили свои варианты GeForce GTX 1630, в том числе низкопрофильный 11 ч.
Inno3D, Palit и Colorful представили свои версии GeForce GTX 1630 с небольшим разгоном 12 ч.