Car-tech

Løser Internet Explorer sensitive opplysninger?

Microsoft Edge with Internet Explorer Mode - PRE09

Microsoft Edge with Internet Explorer Mode - PRE09
Anonim

Spider.io, et selskap i virksomheten som hjelper kundene, skiller mellom faktiske menneskelige besøkende og automatisert botaktivitet, hevder å ha oppdaget en feil som påvirker Internet Explorer den nåværende flaggskipbrowsen fra Microsoft, versjoner 6 til 10. Sårbarheten gjør det mulig at musemarkørposisjonen spores hvor den er på skjermen - selv om IE er minimert.

Spider.io avslørte sårbarhet for Microsoft 1. oktober 2012, men det ble ikke behandlet i den nyeste sikkerhetsoppdateringen for Internet Explorer. Spider.io hevder at feilen blir utnyttet aktivt, og hevder at Microsoft Security Research Center (MSRC) har anerkjent sårbarheten, men har ingen umiddelbar plan for å lappe den.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows PC]

En feil i IE kan lekke potensielt sensitiv informasjon

Jeg spurte Microsoft for sin posisjon på den påståtte sårbarheten. En talsperson sendte meg dette offisielle svaret: "Vi undersøker for øyeblikket dette problemet, men hittil er det ingen rapporter om aktive bedrifter eller kunder som har blitt negativt påvirket. Vi vil gi ytterligere informasjon etter hvert som den blir tilgjengelig, og vil ta de nødvendige tiltak for å beskytte våre kunder. "

Jason Miller, leder for forskning og utvikling for VMware, spørsmålet om problemet er" feil "eller" funksjon ". "Man kan spørre om dette er et sikkerhetsproblem eller en funksjon introdusert i nettleseren for å bidra til å fastslå bruksmålinger. Uansett har forskerne bevist at dette "problemet" kunne brukes ondsinnet. "

Jeg snakket med Qualys CTO Wolfgang Kandek. Han uttrykte bekymringer over konsekvensene slik et sårbarhet kan ha for nettbank. Mange banker har implementert virtuelle tastaturer på skjermen for å skrive inn kontoopplysninger som et middel til å unngå tradisjonelle keylogger-angrep.

Andrew Storms, direktør for sikkerhetsoperasjoner for nCircle, er enig. "Denne utnytningen gjør at reduksjonen null og tom - det har en nøkkellogger på virtuelle tastaturer. Angrepere kan potensielt fange klikkene knyttet til bankopplysningene ved hjelp av denne utnyttelsen, og det er ikke gode nyheter for de 63 millioner amerikanerne som banker online. "

Alex Horan, senior produktsjef hos CORE Security, legger til at angivelig" trygge "nettsteder Kan ikke være så trygg. "Det forsterker også at bare fordi du besøker YouTube eller New York Times ikke betyr at alt innholdet på dette nettstedet eies eller forvaltes av dem, og som serverer ondsinnede annonser på pålitelige vanlige nettsteder, er en fin måte å avsløre angrepet mot et stort volum av brukere. "

Horan foreslår å forlate IE til eller med mindre problemet er patched av Microsoft.

Storms sier," Hvis dette sikkerhetsproblemet er bekreftet, har det potensial til å kreve en ut-band-patch og det er noe alle ønsker å unngå denne høytiden. "