MojWindows

Bezpečnostný expert Manuel Caballero počas tohto týždňa upozornili na pomerne vážnu zraniteľnosť prítomnú v prehliadači Internet Explorer. Vďaka jej zneužitiu je možné získať textové reťazce, ktoré používateľ zadáva do adresného riadka pri návšteve špeciálnej upravenej stránky.

Útočníci chybu v konečnom dôsledku môžu využiť na zber informácií o tom, akú adresu sa používateľ chystá navštíviť, prípadne aké frázy odoslal predstavenému vyhľadávaču. Na základe týchto údajov sa dá pri veľkej vzorke vytvoriť pomerne zaujímavý prehľad o správaní používateľov na internete, čo má pre marketingové účely obrovskú hodnotu. Záškodnícky skript našťastie dokáže odhaliť len reťazce, ktoré sú používateľom odoslané na ďalšie spracovanie. Pokiaľ teda dôjde k vloženiu textového reťazca bez potvrdenia na odoslanie, nezíska nič.

K zneužitiu chyby dochádza využitím konštrukcie „HTML object tag“ v kombinácii s metadátami, ktoré definujú kompatibilitu danej webovej stránky s internetovými prehliadačmi. Táto kombinácia spôsobí, že útočníkom upravená konštrukcia získa prístup k informáciám, ktoré by pre ňu štandardne neboli prístupné.

Caballero upozorňuje, že splnenie týchto požiadaviek nie je príliš komplikované, nakoľko útočníci dokážu predmetnú konštrukciu ukryť napríklad do zdrojového kódu reklamného banneru. Potrebné metadáta sú zase bežne využívané a obsahujú ich takmer všetky webové stránky.

Zraniteľnosť sa týka výhradne prehliadača Internet Exlorer. Používatelia si ju môžu v praxi vyskúšať prostredníctvom špeciálnej stránky vytvorenej Caballerom. V tomto prípade sa zobrazia informácie, ktoré boli zachytené, no pri reálnom zneužití by došlo k normálnemu presmerovaniu a používateľ by ani len netušil, že komunikácia bola dochytená.

Microsoft bol o zraniteľnosti informovaný a odstrániť ju plánuje prostredníctvom tradičných bezpečnostných záplat. Koniec koncov Internet Explorer má na trhu stále značné zastúpenie, ktoré sa pohybuje na úrovni 16-17%.

Zdroj: Neowin

01.10.2017

+