Łatwo przechwycić wszystko co wpiszesz w pasek adresowy Internet Explorera

Z Internet Explorera korzystają już tylko niedobitkiinternautów, globalnie ta przeglądarka ma raptem 3,7% rynku (daneStatCountera). Wciąż jednak w liczbach bezwzględnych tokilkadziesiąt milionów osób. I wszystkie one są podatne na bardzoprosty atak, pozwalający napastnikom w niezauważony sposóbodczytać wszystko, co wpisują w pasek adresowy przeglądarki.

Odkrycie tego wycieku danych, występującego nawet w najnowszymInternet Explorerze 11, to zasługa badacza Manuela Caballero, którylubi sobie podłubać w przeglądarkach. Na swoim blogu BrokenBrowser opisuje,jak poznać internetowe obyczaje użytkowników IE, jakby tychwszystkich niezałatanych luk w przeglądarce Microsoftu nie byłojuż dość.

W skrócie atak sprowadza się do tego, że gdy wewnątrz elementuobject zostaje wykonany skrypt, dochodzi do pomieszania wartościjego lokalizacji – obiekt, który wygląda i zachowuje się jakpływająca ramka, jest przekonany, że jest oknem top. W ten sposóbwartość właściwości location.href zaczyna się odnosić dozawartości głównego okna.

Bardzo prosto więc stworzyć skrypt, który będzie odczytywałwszystko, co użytkownik wpisze do paska adresowego, czy to będąadresy domenowe, czy też słowa kluczowe dla wyszukiwarki. Jak todziała, możecie sprawdzićsami, jeśli gdzieś jeszcze macie Internet Explorera.

W odpowiedzi na doniesienia o tym zagrożeniu Microsoftpoinformował, że poważnie podchodzi do zgłoszonych muproblemów z bezpieczeństwem i proaktywnie aktualizuje narażoneurządzenia tak szybko jak to tylko możliwe. Standardową politykąjest dostarczanie rozwiązań w każdy drugi wtorek miesiąca.

Ciekawe słowa, szczególnie że inna znaleziona przez Caballeroluka, pozwalająca na uruchamianie w Internet Explorerze skryptów,które pozostająniezauważone i aktywne mimo zamknięcia ich strony, pozostajeniezałatana od lutego 2017 roku.