Microsoft zlehčuje závažnou bezpečnostní chybu v IE

Novinky | 29.05.11

Microsoft zpochybnil riziko, které prý představuje chyba v prohlížeči Internet Explorer, již nedávno objevil italský vývojář. Jejím prostřednictvím však lze získat citlivé osobní údaje.





Chyba, jejíž detaily nebyly zveřejněny, byla použita jako součást útoku zvaného "cookiejacking" popsaného Rosaiem Valottou. Valotta, který svou techniku ukázal na bezpečnostní konferenci v Amsterdamu, zkombinoval neznámou chybu v IE s dobře známým tři roky starým exploitem. Útok funguje na všech verzích prohlížeče včetně Internet Exploreru 9 a útočníci jeho prostřednictvím mohou získat přístup k webmailu uživatele, účtům na Facebooku a Twitteru nebo dokonce k citlivým bankovním údajům.

"Tento problém podle našeho názoru není z řad kritických, neboť k provedení útoku musí uživatel navštívit nebezpečnou webovou stránku, na níž musí kliknout na určitý objekt. Navíc jsme nezaznamenali, že by tento útok byl nějak rozšířen," uvedl představitel Microsoftu. S tím však nesouhlasí Jeremiah Grossman, spoluzakladatel organizace WhiteHat Security, podle kterého je Valottův útok chytrý, velmi jednoduchý a funkční. "Microsoft bude útok znevažovat, dokud nedojde k jeho rozšíření," dodal Grossman.

Valotta demonstroval svůj útok na jednoduché hře, kterou vytvořil na Facebooku. V rámci ní měli uživatelé skládat puzzle z obrázku ženy. Za tři dny existence této hry díky avizovanému útoku získal přístupové údaje od několika desítek lidí.














Komentáře