Ostrożnie z oglądaniem obrazków w Internet Explorerze

Specjaliści do spraw bezpieczeństwa poinformowali o odkryciubłędu w przeglądarce Internet Explorer. W określonychokolicznościach błąd ten pozwala na przeprowadzenie ataku XSS. Luka dotyczy filtrów treści aktywnych w kodzie, takich jak skryptyJavaScript, kod HTML czy aplety Flash, wprowadzonych pierwotnie doochrony. Pozwala na zagnieżdżenie tego rodzaju kodu w module doprzesyłania na serwer obrazków. Otwarcie przesłanego w ten sposóbobrazka może automatycznie spowodować wykonanie kodu. Co prawda,niektóre serwery WWW definiują typy plików za pomocą Content-Type wnagłówkach HTTP, ale zwykle przeglądarki sprawdzają tylkopierwszych kilka bajtów plików graficznych. Od czwartej wersji Internet Explorera, program oferuje metodęwykrywania typów MIME, zwaną MIMEsniffing. Dzięki niej, przeglądarka zakłada, że pobierany zInternetu plik ma taki sam Content-Type, jak ten podany w nagłówkuHTTP, dlatego nie ufa danym zapisanym w Content-Type. Zamiast tegoanalizuje pierwsze 256 bajtów pliku, w celu identyfikacji typu.Robi to jednak tylko w sytuacji, w której użytkownik wywołuje adresURL obrazka bezpośrednio. Aktualnie żadne łatki nie są dostępne.