Jump to content

Ошибка в Internet Explorer позволяет просматривать данные адресной строки


Recommended Posts

8ad4a26a22e361f3346a94cdee34ab99.jpg.db668e90869e6d8294bffe157907804b.jpg

Исследователь безопасности Мануэль Кабальеро обнаружил серьезную ошибку в браузере Microsoft Internet Explorer, позволяющую злоумышленникам просматривать текст, который пользователь вводит в адресную строку.

Проблема касается как новых URL-адресов, которые вводит пользователь, так и поисковых запросов, которые IE автоматически обрабатывает с помощью поисковика Bing. Данная ошибка представляет угрозу конфиденциальности пользователей, поскольку может эксплуатироваться как злоумышленниками в ходе подготовки к целевым атакам, так и рекламодателями для сбора данных.

Ошибка возникает при двух условиях: 1) когда IE загружает страницу с вредоносным HTML-тегом object и 2) при наличии в исходном коде метатега совместимости. Злоумышленники могут скрыть вредоносные HTML-теги object на взломанных сайтах или загрузить их с помощью рекламных баннеров, позволяющих рекламодателям загружать HTML- или JavaScript-код.

Метатег X-UA-Compatible в зависимости от переданного значения content заставляет различные версии IE отображать документ в том или ином режиме.

По словам исследователя, при наличии вышеуказанных условий происходит ошибка, в ходе которой вредоносный HTML-тег получает доступ к ресурсам и информации, содержащимся в окне браузера. Вредоносный тег может извлечь значение location.href, когда пользователь уходит с главной страницы, позволяя злоумышленнику просматривать ранее введенный в адресную строку текст.

Link to comment

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...