Ένα πολύ σοβαρό ελάττωμα ασφαλείας σε όλες τις εκδόσεις του Internet Explorer επιτρέπει σε επιτιθέμενους να κλέψουν τα διαπιστευτήρια του χρήστη ή να διεξάγουν επιθέσεις phishing μέσω οποιασδήποτε ιστοσελίδας.Internet Explorer Internet Explorer
Η ευπάθεια, που επηρεάζει ακόμα και τις πλήρως ενημερωμένες εκδόσεις του Internet Explorer 11 που τρέχουν στα Windows 7 και 8,1, αποκαλύφθηκε από τον ερευνητή ασφαλείας David Leo της εταιρείας ασφαλείας Deusen. Ό ερευνητής έχει δημοσιεύσει με λεπτομέρειες την τεχνική που επιτρέπει σε έναν hacker να παρακάμψει το Same-Origin Policy (ένα θεμελιώδες στοιχείο των διαδικτυακών εφαρμογών) του Internet Explorer κάτι που επιτρέπει cross-site forgeries και την εκτέλεση scripts με κακόβουλο περιεχόμενο σε ιστοσελίδες.
Η ευπάθεια είναι ένα cross-site scripting (XSS). Με άλλα λόγια, ένας εισβολέας είναι σε θέση να εκτελέσει δέσμες ενεργειών περιεχόμενου και να κάνει inject κώδικα σε μια ιστοσελίδα. Ένα ολοκληρωμένο PoC που δημοσιεύτηκε από το Leo αποδεικνύει το σφάλμα μέσω μιας ιστοσελίδας της Daily Mail.
Με από το ελάττωμα XSS, ο ερευνητής ασφαλείας ήταν σε θέση να τροποποιήσει το περιεχόμενο του site εξωτερικά, και λόγω της σοβαρότητας της ευπάθειας, θα μπορούσε επίσης να τη χρησιμοποιηθεί για να κλέψει το περιεχόμενο της ιστοσελίδας, όπως τα cookies ταυτότητας ή στοιχεία σύνδεσης εισόδου από κάποιον χρήστη κατά τη διάρκεια της περιήγησης του.
Οι αλλαγές στην HTML και κλοπή των cookies από έναν hacker θα μπορούσαν να χρησιμοποιηθούν για εκστρατείες phishing ακόμα και πάνω σε αξιόπιστες ιστοσελίδες.
Σύμφωνα με τον ερευνητή, η ευπάθεια κοινοποιήθηκε στην Microsoft στις 13 του Οκτώβρη του 2014.
Οι τεχνικοί της Microsoft προσπαθούν από τότε να επιδιορθώσουν το κενό ασφαλείας.
Αν χρησιμοποιείτε IE καλό θα ήταν να αλλάξετε browser, τουλάχιστον μέχρι την επιδιόρθωση της ευπάθειας.
ΠΗΓΗ:iguru.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου