Злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе

В актуальной версии Internet Explorer присутствует уязвимость межсайтового скриптинга (XSS), которая позволяет обойти политику единства происхождения. С помощью бреши злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе.

Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует ее действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нем отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.

Таким же образом хакер может, например, подменить страницу банка, встроив в неё форму для ввода имени, пароля и даже защитного кода, полученного пользователем по SMS. Клиент при этом будет видеть в адресной строке URL своего банка и не заподозрит подвох. Помимо этого уязвимость позволяет владельцу сайта, который посетил пользователь IE, получить данные из cookie-файлов, также содержащих важную конфиденциальную информацию (логин, пароль, номер телефона и пр).

Microsoft отреагировала на сообщение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, а также что она не получала уведомлений о ее использовании для нанесения вреда. "Мы призываем клиентов не открывать ссылки, полученные от ненадёжных источников, а также не посещать сайты, которые не вызывают доверия", - заявили в корпорации.

Источник: 3dnews 

Комментарии
Последние новости
Загрузка...