Filtr XSS w IE8 niebezpieczny dla serwisów internetowych

Eduardo Vela Nava oraz David Lindsay udostępnili w sieci prezentację i dokumentację opisującą atak cross-site scripting (XSS) wymierzony w serwis internetowy, który wykorzystuje obecny w Internet Explorerze 8 filtr chroniący użytkowników przed... atakami XSS.

Opisywany filtr został dodany do IE8 w sierpniu ubiegłego roku i miał chronić użytkowników przed atakami XSS typu reflection, które mogły doprowadzić do kradzieży plików cookie, rejestrowania wpisywanego teksu bądź zmodyfikowania strony internetowej. Okazało się jednak, że wbudowany w IE8 filtr XSS świetnie nadaje się również do atakowania wybranych serwisów takich jak Google, Bing, Twitter czy Wikipedia. Microsoft wydał co prawda łaty MS10-002 i MS10-018, które usuwają większość problemów opisanych przez Lindsay'a i Vela Nava, jednak niektóre witryny dalej są podatne na niewłaściwe wykorzystanie filtru XSS w IE8.

Administratorom zagrożonych serwisów zalecono filtrowanie treści generowanych przez użytkowników, korzystanie z tokenów blokujących możliwość wystąpienia ataku cross-site request forgery (CSRF) lub nawet wyłączenie filtrów IE8. Ostatnia z możliwości jest jednak dość kontrowersyjna, gdyż pomimo swoich wad filtr XSS obecny w IE8 w pewnym stopniu chroni jednak użytkowników.