Интернет Explorer «сливает» все запросы пользователя

Опубликовано 29 Сентября, 2017

В браузере Microsoft Интернет Эксплорер найдена серьезная уязвимость, позволяющая злонамеренным сайтам отслеживать, что пользователь вводит в адресную строчку. Программная ошибка дает возможность любому сайту, на которой зашёл пользователь, видеть вводимый в адресную строчку текст.

Данная проблема также задевает поисковые запросы, которые IE автоматом обрабатывает при помощи поиска Bing. Эта ошибка представляет угрозу конфиденциальности пользователей, так как может эксплуатироваться как злоумышленниками в процессе подготовки к целевым атакам, так и рекламодателями для сбора данных.

В последней версии интернет Explorer присутствует уязвимость, представляющая существенную угрозу для конфиденциальности. Согласно недавнему посту интернет блога Майкла Кабальеро, профессионала по веб-безопасности, ошибка появляется, когда страница загружается с вредным тегом объекта HTML и метатегом режима совместимости. Практически все сайты в сети интернет имеют метатег совместимости. При всем этом злоумышленникам становится доступна информация, ранее находившаяся в главном окне браузера. Вредный тег может извлечь значение location.href, когда пользователь уходит с основной страницы, разрешая злоумышленнику просматривать до этого введенный в адресную строчку текст.

Кабальеро создал демо-страницу, которая работает только с Интернет Эксплорер, а еще видео, демонстрирующее атаку.

Похожие новости