Израильский специалист по безопасности Матан Гиллон нашел способ использования уязвимости в браузере Internet Explorer для доступа к данным через персональный поисковик Google Desktop 2. Информацию о дыре и пример ее использования Гиллон опубликовал в своем блоге.
Грозящая пользователям Google Desktop 2 присутствует в системе междоменной безопасности Internet Explorer. Дыры такого рода Microsoft ликвидирует регулярно, но он продолжают выявляться. На этот раз уязвимое место находится в системе обработке таблиц стилей. Дело в том, что Internet Explorer позволяет веб-страницам импортировать CSS из других доменов, но не контролирует корректность полученных таблиц стилей. Гиллон выяснил, что вместо настоящего CSS браузеру можно подсунуть скрипт, например, открывающий доступ к Google Desktop. Однако для успешной атаки сначала придется убедить пользователя посетить сомнительный сайт.

Теоретически воспользоваться дырой в IE можно не только через Google Desktop, но и через любую другую программу, использующую междоменную модель безопасности IE. Гиллон уверяет, что в других браузерах подобная уязвимость отсутствует, и в опасности находятся данные лишь пользователей Internet Explorer 6 и, возможно, более ранних версий.

Пока единственным способом, полностью исключающим возможность атаки с использованием данной уязвимости, является выключение в настройках браузера JavaScript. Кроме того, пользователям браузера от Microsoft советуется быть как можно более избирательными и осторожными в посещении онлайновых ресурсов, так как, в конце прошлого месяца появились сообщения об успешных использованиях злоумышленниками еще одной дыры в IE, обнаруженной специалистами еще в мае этого года. Опасность "майской" уязвимости также может быть сведена на нет путем отключения JavaScript или использованием любого альтернативного браузера.

Хотя в Microsoft признали существование проблема, представители компании подчеркивают, что пока не было ни одного сообщения о подобных атаках и отмечают, что обновление будет выпущено в кратчайшие сроки. В Google же подчеркивают, что причиной уязвимости является исключительно дыра в IE.

Читайте нас там, где удобно: Facebook Telegram Instagram !

Опубликованные материалы и любая их часть охраняются авторским правом в соответствии с Законом об авторском праве, и их использование без согласия издателя запрещено. Более подробная информация здесь