Internet Explorer: новый способ обворовать пользователя

Израильский хакер обнаружил уязвимость в браузере Microsoft Internet Explorer, которая дает возможность злоумышленникам получать доступ к жестким дискам пользователей,
�� ��оторых ��становлен Google Desktop. �� ��езультате ��еправильной ��бработки ��еб-��траниц ��айт �� ��редоносным ��одом ��ожет ��ыкрадывать ��ажную ��анные, ��акую, ��ак ��омера ��редитных ��арточек �� ��акже ��ароли.

" ��овершенно ��е ��ащищены ��е ��ользователи IE, �� ��оторых ��становлен Google Desktop, - г��ворит ��акер ��атан ��иллон (Matan Gillon) �� ��лектронном ��нтервью.- ��пытный ��акер ��ожет ��езаметно ��канировать ��есткие ��иски ��ертвы �� ��оисках ��акой ��ажной ��нформации, ��ак ��ароли �� ��акже ��омера ��редиток. ��отому ��то Google ��ндексирует ��лектронные ��исьма, ��рочитываемые �� ��еб-��нтерфейсе, �� ��им ��оже ��ожно ��олучить ��оступ �� ��роцессе ��таки ".

��-�� ��иллон ��одробно ��писал ��ринцип ��существления ��таки �� ��акже ��оказал ��ример ��ксплойта �� ��обственном ��логе. ��огласно ��го ��аявлению, ��аг �� IE ��вязан �� ��ем, ��ак ��раузер ��брабатывает ��анные �� ��орматировании ��траницы, ��олучаемую �� ��ормате CSS (��аскадные ��аблицы ��тилей). ��ормат CSS ��ироко ��спользуется ��ля ��ридания ��еб-��айт��м ��динообразного ��нешнего ��ида �� ��акже ��нификации ��пособа ��аботы �� ��ими, ��днако ��едостатки ��бработки CSS �� IE ��озволяют ��реступникам ��ри ��омощи Google Desktop ��расть ��онфиденциальную ��анные.

��ля ��редоставления ��озможности ��таки ��перва ��адобно ��авлечь ��ертву ��а ��редоносный ��еб-��айт, ��ишет г-�� ��иллон. У��пешно ��такуются IE 6 �� ��очетании �� Google Desktop ��ерсии 2, �� ��ные ��ерсии ��раузера Microsoft. ��раузеры ��ных ��роизводителей, ��акие, ��ак Firefox �� ��акже Opera, �� ��таке ��е ��осприимчивы.

��-�� ��иллон ��ишет, ��то ��ападение ��ожно ��редотвратить, ��тключив ��бработку JavaScript, ��оторый ��вляется ��дним ��з ��аиболее ��опулярных ��криптовых ��зыков.

��а ��ротяжении ��лижайших ��ней ��ользователям ��ледует ��кстремально ��нимательно ��тноситься �� ��осещаемым ��еб-��айт��м, ��отому ��то ��айдена ��ще ��дна ��язвимость, ��ля ��оторой ��окуда ��ет ��аплатки �� ��акже ��оторая ��ает ��озможность ��олучить ��адзор ��ад ��омпьютером-��ертвой. ��ример ��ода, ��спользующего ��ту ��язвимость, ��акер�� ��публиковали ��олее ��едели ��азад, �� ��акже �� Microsoft ��одтвердили, ��то ��ри ��омощи ��его ��же ��рганизуются ��таки. ��ак �� ��акже �� ��лучае �� CSS, ��ля ��спешного ��злома ��адобно ��начале ��аманить ��ертву ��а ��редоносный ��еб-��айт.

��фициальные У��олномоченные Microsoft ��икак ��е ��ояснили ��ахождение ��ага CSS, ��днако ��отрудница ��тдела ��о ��аботе �� ��бщественностью ��рганизации ��аявила, ��то ��роблема ��зучается. ��на ��обавила, ��то Microsoft ��е ��меет ��анных �� ��роведении ��так �� ��спользованием ��язвимости.

cnews. Ru