Microsoft zlehčuje závažnou bezpečnostní chybu v IE

29. 5. 2011

Sdílet

Chyba, jejíž detaily nebyly zveřejněny, byla použita jako součást útoku zvaného "cookiejacking" popsaného Rosaiem Valottou. Valotta, který svou techniku ukázal na bezpečnostní konferenci v Amsterdamu, zkombinoval neznámou chybu v IE s dobře známým tři roky starým exploitem. Útok funguje na všech verzích prohlížeče včetně Internet Exploreru 9 a útočníci jeho prostřednictvím mohou získat přístup k webmailu uživatele, účtům na Facebooku a Twitteru nebo dokonce k citlivým bankovním údajům.

"Tento problém podle našeho názoru není z řad kritických, neboť k provedení útoku musí uživatel navštívit nebezpečnou webovou stránku, na níž musí kliknout na určitý objekt. Navíc jsme nezaznamenali, že by tento útok byl nějak rozšířen," uvedl představitel Microsoftu. S tím však nesouhlasí Jeremiah Grossman, spoluzakladatel organizace WhiteHat Security, podle kterého je Valottův útok chytrý, velmi jednoduchý a funkční. "Microsoft bude útok znevažovat, dokud nedojde k jeho rozšíření," dodal Grossman.

Valotta demonstroval svůj útok na jednoduché hře, kterou vytvořil na Facebooku. V rámci ní měli uživatelé skládat puzzle z obrázku ženy. Za tři dny existence této hry díky avizovanému útoku získal přístupové údaje od několika desítek lidí.

Našli jste v článku chybu?