Данные адресной строки в браузере Internet Explorer доступны злоумышленникам

Данные адресной строки в браузере Internet Explorer могут быть доступны злоумышленникам, пишет Threatpost.

Об обнаружении серьезной уязвимости в Internet Explorer сообщил исследователь Мануэль Кабальеро (Manuel Caballero). Путем несложных действий злоумышленники могут незаметно узнать, что именно вводит в адресную строку браузера пользователь: поисковые запросы, адреса сайтов в интернете и внутренних сетях. Дальнейшие действия могут варьироваться от относительно безобидного сбора данных для онлайн-рекламы до подготовки таргетированных атак.

Уязвимость возникает в режиме совместимости с более ранними версиями (до 8-й), в который браузер переходит автоматически, если соответствующая пометка есть в коде HTML-страницы. Множество безобидных сайтов предписывают Internet Explorer работать в режиме совместимости.

Чтобы использовать уязвимость, злоумышленникам достаточно добавить в HTML-тег <object> любого объекта на странице скрипт, который заставит его считать себя окном верхнего уровня, а своим адресом — адрес открытой веб-страницы, и затем передавать этот адрес кому угодно. Для внедрения скрипта даже не обязательно взламывать сайт: проще всего встроить его в объекты, остающиеся под контролем сторонних по отношению к сайту лиц, например в рекламные баннеры.

Сам по себе адрес страницы, на которой размещен объект с вредоносным скриптом, не представляет большой ценности для злоумышленников — они и так его знают. Однако когда пользователь переходит по ссылке или вводит в адресную строку URL или поисковый запрос, зараженный объект успевает передать новый адрес своим хозяевам. Заметить происходящее пользователь не может.

Исследователь отмечает, что Microsoft недостаточно внимательно относится к исправлению уязвимостей в Internet Explorer, хотя официально поддержку браузера не прекращала, и 17% пользователей до сих пор верны этому браузеру.

Автор:	Softodrom.ru
Дата:	28.09.2017 21:35