News Poważny bug w IE 11 czeka na naprawę

Microsoft pracuje nad łatką dla podatności odkrytej niedawno w przeglądarce Internet Explorer. Otwiera ona drzwi atakującym, którzy mogą ominąć certyfikację tożsamości pochodzenia (same origin policy), wstrzyknąć złośliwy kod do witryn, przechwytywać cookies, dane o sesji oraz logowaniach.

Grupa specjalistów, znana pod nazwą Deusen, upubliczniła prawdziwą demonstrację działania exploita przy wykorzystaniu wspomnianej metody. Za cel wybrano sobie portal Daily Mail, do którego treści wstrzyknięto napis "Hacked by Deusen" - oznacza to, że podatne na atak są także kody HTML i Javascript.

Microsoft zdaje sobie sprawę z zagrożenia, tym niemniej "nie uważa, że podatność ta jest aktywnie exploitowana, [jednak] pracuje nad aktualizacją bezpieczeństwa." Firma radzi też użytkownikom IE, by zachowali ostrożność i "unikali otwierania linków z niezaufanych źródeł, wchodzenia na niezaufane strony oraz by zawsze wylogowywali się po opuszczeniu strony w celu ochrony ich informacji".

Exploit najprawdopodobniej korzysta z iframes, by obejść certyfikację tożsamości. Raz wstrzyknięty kod daje już atakującemu stały dostęp do 'wrażliwych' informacji, zarezerwowanych dla konkretnej witryny, wliczając w to szczegóły sesji, ciasteczka czy login użytkownika.

W przeciwieństwie do większości exploitów, wykorzystujących metodę cross-site scripting (XSS), omawiane oprogramowanie nie musi być fizycznie przechowywane na atakowanym serwerze. Jego źródło może znajdować się gdzie indziej, a użytkownik może zostać zachęcony do odwiedzenia takiej strony. Wiemy na pewno, że podatność dotyczy IE 11, jednakże jest wysoce prawdopodobne, że starsze wersje przeglądarki są także narażone.