В последней версии браузера Internet Explorer присутствует брешь, которая позволяет хакерам воровать пароли пользователей, а также встраивать сторонний контент в веб–страницы.
Благодаря уязвимости межсайтового скриптинга (cross-site scripting, XSS) злоумышленник может обойти принцип одинакового источника, который предотвращает изменение cookie–файлов или другого контента, относящегося к сайту, сторонним веб–ресурсом.
Британская компания Deusen опубликовала PoC-код этой уязвимости на своём веб–сайте. Пользователь, пройдя по специальной ссылке, попадает на сайт известного издания Daily Mail, после чего прямо на нём появляется надпись Hacked by Deusen. Таким же образом можно вставить любой контент в любой сайт, открытый с помощью последней версии Internet Explorer со всеми выпущенными на сегодняшний день патчами.
Помимо этого, злоумышленник способен получить доступ к cookie–файлам этого сайта, в которых может содержаться логин, пароль и другие конфиденциальные данные, в том числе относящиеся к банковским счетам.
Microsoft разослала своим клиентам сообщение, в котором утверждает, что не получала данных об эксплуатации этой уязвимости для причинения реального вреда. «Для её использования злоумышленник сперва должен заманить жертву на вредоносный сайт, что нередко делается с помощью фишинга. SmartScreen, который работает во всех версиях Internet Explorer по умолчанию, помогает защититься от фишинговых сайтов. Мы и продолжаем призывать клиентов избегать открывания ссылок, полученных от ненадёжных источников, а также посещения недоверенных сайтов, и завершать сессию пользователя после окончания работы с сайтом», — заявила корпорация.
Выход исправления уязвимости стоит ожидать в следующий второй вторник месяца — 10 февраля — когда Microsoft выпускает обновления безопасности для своих продуктов.
Источник: