Niebezpieczna luka w Internet Explorer 8
Internet Explorer | 2010-09-07 09:27:52
Internet Explorer 8 może pochwalić się niezałatną luką pozwalającą na przeprowadzanie ataku w wyniku którego cyberprzestępcy mogą przejąć autoryzowaną przez użytkownika sesję.
Luka dotyczy mechanizmu przetwarzania przez IE8 styli CSS.
Sam exploit bazuje natomiast na ataku zwanym “cross-domain theft”, problem zaś zasygnalizowany została w grudniu ubiegłego roku przez Chrisa Evansa. Po tym fakcie błąd został poprawiony w Firefoksie, Chrome, Safari oraz Operze. Mozilla była ostatnią, która zaimplementowała prosty mechanizm obronny - stało się to w lipcu tego roku.
Jeśli atakującemu uda się przesłać do komputera ofiary specjalnie spreparowany łańcuch zinterpretowany przez przeglądarkę jako styl CSS, a następnie użytkownik odwiedzi legalnie funkcjonującą stronę internetową i dokona na niej autoryzacji, atakujący będzie w stanie przejąć sesję.
Evans uważa, że błąd sam w sobie jest znany w środowisku cyberprzestępczym od 2008 roku.
źródło: threatpost.com
Luka dotyczy mechanizmu przetwarzania przez IE8 styli CSS.
Sam exploit bazuje natomiast na ataku zwanym “cross-domain theft”, problem zaś zasygnalizowany została w grudniu ubiegłego roku przez Chrisa Evansa. Po tym fakcie błąd został poprawiony w Firefoksie, Chrome, Safari oraz Operze. Mozilla była ostatnią, która zaimplementowała prosty mechanizm obronny - stało się to w lipcu tego roku.
Jeśli atakującemu uda się przesłać do komputera ofiary specjalnie spreparowany łańcuch zinterpretowany przez przeglądarkę jako styl CSS, a następnie użytkownik odwiedzi legalnie funkcjonującą stronę internetową i dokona na niej autoryzacji, atakujący będzie w stanie przejąć sesję.
Evans uważa, że błąd sam w sobie jest znany w środowisku cyberprzestępczym od 2008 roku.
źródło: threatpost.com