Израильский специалист по безопасности Матан Гиллон нашел способ использования уязвимости в браузере Internet Explorer для доступа к данным через персональный поисковик Google Desktop 2. Информацию о дыре и пример ее использования Гиллон опубликовал в своем блоге.
Грозящая пользователям Google Desktop 2 присутствует в системе междоменной безопасности Internet Explorer. Дыры такого рода Microsoft ликвидирует регулярно, но он продолжают выявляться. На этот раз уязвимое место находится в системе обработке таблиц стилей. Дело в том, что Internet Explorer позволяет веб-страницам импортировать CSS из других доменов, но не контролирует корректность полученных таблиц стилей. Гиллон выяснил, что вместо настоящего CSS браузеру можно подсунуть скрипт, например, открывающий доступ к Google Desktop. Однако для успешной атаки сначала придется убедить пользователя посетить сомнительный сайт.

Теоретически воспользоваться дырой в IE можно не только через Google Desktop, но и через любую другую программу, использующую междоменную модель безопасности IE. Гиллон уверяет, что в других браузерах подобная уязвимость отсутствует, и в опасности находятся данные лишь пользователей Internet Explorer 6 и, возможно, более ранних версий.

Пока единственным способом, полностью исключающим возможность атаки с использованием данной уязвимости, является выключение в настройках браузера JavaScript. Кроме того, пользователям браузера от Microsoft советуется быть как можно более избирательными и осторожными в посещении онлайновых ресурсов, так как, в конце прошлого месяца появились сообщения об успешных использованиях злоумышленниками еще одной дыры в IE, обнаруженной специалистами еще в мае этого года. Опасность "майской" уязвимости также может быть сведена на нет путем отключения JavaScript или использованием любого альтернативного браузера.

Хотя в Microsoft признали существование проблема, представители компании подчеркивают, что пока не было ни одного сообщения о подобных атаках и отмечают, что обновление будет выпущено в кратчайшие сроки. В Google же подчеркивают, что причиной уязвимости является исключительно дыра в IE.

Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!

Publikācijas saturs vai tās jebkāda apjoma daļa ir aizsargāts autortiesību objekts Autortiesību likuma izpratnē, un tā izmantošana bez izdevēja atļaujas ir aizliegta. Vairāk lasi šeit