Internet Explorer vypouští citlivé informace?

Společnost Spider.io, která pomáhá zákazníkům rozlišovat mezi skutečnými návštěvníky webových stránek a automatizovanou botovou činností, tvrdí, chybu, která ovlivňuje Internet Explorer současný prohlížeč vlajkových lodí od společnosti Microsoft verze 6 až 10. Zranitelnost údajně umožňuje, aby pozice kurzoru myši byla sledována všude, kde se nachází na obrazovce - i když je IE minimalizována.

Spider.io zveřejnil zranitelnost vůči společnosti Microsoft dne 1. října 2012, ale nebyla řešena v nejnovější aktualizaci zabezpečení aplikace Internet Explorer. Společnost Spider.io tvrdí, že chyba je aktivně využívána a tvrdí, že Microsoft Security Research Centre (MSRC) tuto chybu zabezpečení uznala, ale nemá žádný okamžitý záměr na její opravu.

[Další informace: Jak odstranit škodlivý software z vašeho systému Windows PC]

Chyba v IE může způsobit únik potenciálně citlivých informací

Požádal jsem společnost Microsoft o její postoj k údajné zranitelnosti. Mluvčí mi poslal tuto oficiální odpověď: "V současné době zkoumáme tento problém, ale dosud neexistují žádné zprávy o aktivním zneužívání nebo o zákaznících, kteří byli nepříznivě zasaženi. Budeme poskytovat další informace, jakmile budou k dispozici, a přijmou vhodná opatření k ochraně našich zákazníků. "

Jason Miller, manažer výzkumu a vývoje společnosti VMware se ptá, zda je problém" chyba "nebo" rys ". "Dalo by se zpochybnit, zda se jedná o chybu zabezpečení nebo funkci zavedenou do prohlížeče, která vám pomůže zjistit metriky používání. Bez ohledu na to výzkumníci prokázali, že tato "otázka" by mohla být zneužívána. "

Mluvil jsem s kvalitou CTO Wolfgangem Kandekem. Vyslovil obavy z důsledků, které by taková zranitelnost mohla mít pro online bankovnictví. Mnoho bank implementovalo virtuální klávesnice na obrazovce pro zadávání pověření účtu jako prostředku k vyloučení tradičních záchvatů keyloggerů.

Andrew Storms, ředitel bezpečnostních operací pro nCircle, souhlasí. "Toto zneužití způsobuje, že zmírnění je neplatné - má účinek klíčového logeru na virtuálních klávesnicích. Útočníci by mohli potenciálně zachytit kliknutí spojená s bankovními pověřeními pomocí tohoto zneužívání a to není dobrá zpráva pro 63 milionů Američanů, kteří banku online. "

Alex Horan, vedoucí produktový manažer společnosti CORE Security, dodává, že údajně" bezpečné "webové stránky nemusí být tak bezpečné. "Také to posiluje, že právě proto, že navštěvujete YouTube nebo New York Times, neznamená, že veškerý obsah na těchto stránkách je vlastněn nebo spravován. Poskytování škodlivých reklam na důvěryhodných místech hlavního proudu je skvělý způsob, jak vystavit váš útok velký počet uživatelů. "

Horan navrhuje opuštění IE, dokud nebo pokud problém neproběhne Microsoft.

Storms říká:" Pokud je tato zranitelnost potvrzena, má potenciál vyžadovat opravu mimo pásmo a to je něco, co by se všichni rádi vyhnuli této prázdninové sezóně. "