Перейти к содержанию

Ошибка в Internet Explorer позволяет просматривать данные адресной строки


Рекомендуемые сообщения

8ad4a26a22e361f3346a94cdee34ab99.jpg.db668e90869e6d8294bffe157907804b.jpg

Исследователь безопасности Мануэль Кабальеро обнаружил серьезную ошибку в браузере Microsoft Internet Explorer, позволяющую злоумышленникам просматривать текст, который пользователь вводит в адресную строку.

Проблема касается как новых URL-адресов, которые вводит пользователь, так и поисковых запросов, которые IE автоматически обрабатывает с помощью поисковика Bing. Данная ошибка представляет угрозу конфиденциальности пользователей, поскольку может эксплуатироваться как злоумышленниками в ходе подготовки к целевым атакам, так и рекламодателями для сбора данных.

Ошибка возникает при двух условиях: 1) когда IE загружает страницу с вредоносным HTML-тегом object и 2) при наличии в исходном коде метатега совместимости. Злоумышленники могут скрыть вредоносные HTML-теги object на взломанных сайтах или загрузить их с помощью рекламных баннеров, позволяющих рекламодателям загружать HTML- или JavaScript-код.

Метатег X-UA-Compatible в зависимости от переданного значения content заставляет различные версии IE отображать документ в том или ином режиме.

По словам исследователя, при наличии вышеуказанных условий происходит ошибка, в ходе которой вредоносный HTML-тег получает доступ к ресурсам и информации, содержащимся в окне браузера. Вредоносный тег может извлечь значение location.href, когда пользователь уходит с главной страницы, позволяя злоумышленнику просматривать ранее введенный в адресную строку текст.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...