W pełni załatany Internet Explorer podatny jednak na ataki XSS

O autorze

Maciej Olanicki

@b.munro

Na dziobie okrętu. Stawia znaczące nad znaczonym, lubi czapki z daszkiem, teorię gier, tłumaczenia maszynowe i karabiny maszynowe.

Internet Explorer 11 zarówno na systemie Windows 7 i 8.1 jest podatny na ataki, które mogą pozwolić na uzyskanie dostępu do danych użytkownika wykorzystywanych podczas logowania do aplikacji webowych. Programiści Microsoftu już pracują nad łatką, która naprawi ten ten problem

Luka w bezpieczeństwie przeglądarki dotyczy cross-site scriptingu – ataku na strony internetowe, który umożliwia dodanie do stron własnego skryptu zdolnego następnie do wykonania się w przeglądarce. Najważniejszym problemem jest fakt, że atakujący może w ten sposób posiąść dostęp do ciasteczek, a zatem istotnych danych użytkownika. Mogą one na przykład służyć do zalogowania się do danego serwisu jako ofiara.

O skuteczności ataku można przekonać się na stronie domowej grupy Deusen zajmującej się profesjonalnie zagadnieniami bezpieczeństwa. Po kliknięciu na odpowiedni link w Internet Explorerze wyświetla się okno pop-up zawierającą zaatakowaną wersję serwisu Dailymail.co.uk. Zaledwie po kilku sekundach wyświetla się informacja Hacked by Deusen.

Przedstawiciele Microsoftu jednocześnie uspokajają, że dotychczas nie stwierdzono żadnych przypadków takiego ataku. Ponadto domyślnie włączony w Internet Explorerze Smart Screen powinien pomóc w zidentyfikowaniu danej strony jako zmodyfikowanej przez atakującego

Programiści Microsoftu specjalizujący się w bezpieczeństwie mają ostatnio dużo pracy, za co po części jest odpowiedzialne Google. Nie ma informacji o tym kiedy łatka bezpieczeństwa dla Internet Explorera się ukaże, jednak Microsoft zapewnia, że trwają nad nią intensywne prace.