[ksoft] Дыра в IE позволяет красть информацию через Google Desktop
Привет, All!
Израильский специалист по безопасности Матан Гиллон нашел способ
использования уязвимости в браузере Internet Explorer для доступа к
данным через персональный поисковик Google Desktop 2. Информацию о
дыре и пример ее использования Гиллон опубликовал в своем
http://www.hacker.co.il/security/ie/css_import.html
блоге.
Грозящая пользователям Google Desktop 2 присутствует в системе
междоменной безопасности Internet Explorer. Дыры такого рода Microsoft
ликвидирует регулярно, но он продолжают выявляться. На этот раз
уязвимое место находится в системе обработке таблиц стилей. Дело в
том, что Internet Explorer позволяет веб-страницам импортировать CSS
из других доменов, но не контролирует корректность полученных таблиц
стилей. Гиллон выяснил, что вместо настоящего CSS браузеру можно
подсунуть скрипт, например, открывающий доступ к Google Desktop.
Однако для успешной атаки сначала придется убедить пользователя
посетить сомнительный сайт.
Теоретически воспользоваться дырой в IE можно не только через Google
Desktop, но и через любую другую программу, использующую междоменную
модель безопасности IE. Гиллон уверяет, что в других браузерах
подобная уязвимость отсутствует, и в опасности находятся данные лишь
пользователей Internet Explorer 6 и, возможно, более ранних версий.
Пока единственным способом, полностью исключающим возможность атаки с
использованием данной уязвимости, является выключение в настройках
браузера JavaScript. Кроме того, пользователям браузера от Microsoft
советуется быть как можно более избирательными и осторожными в
посещении онлайновых ресурсов, так как, в конце прошлого месяца
появились сообщения об успешных использованиях злоумышленниками еще
одной http://security.compulenta.ru//240000/
дыры в IE, обнаруженной специалистами еще в мае этого года. Опасность
"майской" уязвимости также может быть сведена на нет путем отключения
JavaScript или использованием любого альтернативного браузера.
Хотя в Microsoft признали существование проблема, представители
компании подчеркивают, что пока не было ни одного сообщения о подобных
атаках и отмечают, что обновление будет выпущено в кратчайшие сроки. В
Google же подчеркивают, что причиной уязвимости является исключительно
дыра в IE.
