Najnowsza wersja Internet Explorera jest podatna na lukę typu zero-day, która pozwala złośliwej stronie internetowej oszukać użytkownika wykorzystując do tego celu pasek adresu przeglądarki.
Błąd, sklasyfikowany przez firmę Secunia jako „mało krytyczny”, związany jest z niewłaściwą pracą metody „document.open()” wykorzystywanej przy otwieraniu nowego okna i ładowania dokumentu określonego przez adres URL.
W tym konkretnym przypadku użytkownicy odwiedzający złośliwą stronę internetową mogą chcieć zmienić oglądaną witrynę. Jeśli wykonają to poprzez wpisanie w pasku adresu nowe „miejsce docelowe”, mogą zostać przeniesieni do przygotowanego specjalnie przez cyberprzestępcę serwisu, mimo że na pasku adresu będzie widniał URL, który wpisali.
„W przypadku tych ataków użytkownik jest przekonany, że opuścił przeglądaną stronę WWW, tymczasem jego przeglądarka wyświetla zawartość przygotowaną przez atakującego” - opowiada odkrywca luki, Michał Zalewski.
Secunia radzi, aby internauci ograniczyli liczbę odwiedzin nieznanych stron internetowych.
Luka, która wykorzystuje JavaScript, nie była testowana w przypadku Internet Explorera 6, wyjaśnił Zalewski.
źródło: www.scmagazine.com
Michał Zalewski wykrył lukę w Internet Explorerze 7
Bezpieczeństwo |
Wt, 17 Lip 2007 08:51:49 +0200 |
Autor:
Redakcja
| Czytań: 8762
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.