IE 11 имеет небезопасную слабость

В своевременной версии Mozilla firefox находится слабость межсайтового скриптинга (XSS), которая дает возможность обогнать политику целостности возникновения. При помощи бреши злодей способен сменить содержание интернет-страницы, и получить индивидуальную информацию о клиенте.

В первый раз об уязвимости сообщил Дейвид Лео (Joseph Leo) из английской компании Deusen через e-mаil рассылку Full Disclosure. Он также обнародовал PoC-код бреши, который показывает её действие на примере веб-сайта издания Daily Mail. При проходе на данный сайт из специально выработанной страницы при помощи IE 10 либо IE 11, на нём отражается пометка “Hacked by Deusen”, впрочем сноска в адресной строке при этом не меняется.

Так же взломщик может, к примеру, сменить страничку банка, встроив в неё фигуру для ввода имени, пароля и защитного кода, приобретенного клиентом по СМС. Заказчик при этом будет лицезреть в адресной строке URL собственного банка и не подумает подвох.

Кроме этого слабость дает возможность обладателю веб-сайта, который посетил клиент IE, получить данные из cookie-файлов, также имеющих значительную секретную информацию (логин, пароль, номер мобильного телефона и прочие).

Майкрософт откликнулась на извещение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, и что она не приобретала извещений о её применении для нанесения ущерба. «Мы вызываем заказчиков не открывать сноски, приобретенные от ненадёжных источников, и не навещать веб-сайты, которые не вызывают доверия», — сообщили в компании.

Официальный дилер Sucuri Даниэль Сил (Dan Cid) и ещё несколько специалистов по справочной безопасности заметили, что обладатели сайтов могут без помощи других защититься от работы этой уязвимости при помощи особых частей кода, таких как заголовок X-Frame-Options со свойством “deny” либо “same-origin”. По версии Сида, данный заголовок в настоящее время применяется очень редко.

Патч к этой уязвимости, вероятнее всего, выйдет 10 марта, когда Майкрософт будет производить обновления безопасности для собственных товаров.

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий