IE8: Microsoft pracuje na opravě XSS zranitelnosti

22. 4. 2010

Sdílet

Společnost Microsoft slíbila vydat opravnou aktualizaci pro chybu v prohlížeči Internet Explorer 8, díky které hackeři využívají antivirovou ochranu ke svým útokům.

Microsoft tímto krokem hodlá reagovat na jednu z prezentací uskutečněných na konferenci Black Hat Europe v minulém týdnu. Bezpečnostní profesionálové Eduardo Vela Nava a David Lindsay zde předvedli, jak může být filtr cross-site scripting (antimalwarový nástroj, který debutoval v beta verzi IE8) zneužit k útokům na webové stránky, které by přitom měly být mimořádně odolné. Mezi tyto stránky patří například vyhledávače Bing a Google, dále pak Digg, Twitter či Wikipedie.

Podle Vely a Lindsaye používá Internet Explorer 8 k ochraně proti cross-site scripting (XSS) útokům to, co nazývají kastrační technikou. Problém je prý v tom, že útočníci mohou s filtrem manipulovat ke svým vlastním účelům. Filtr se tak stává nefunkčním a to v některých případech vede k XSS útokům, které by za normálních okolností nebyly možné.

Microsoft dal najevo, že si je chyby vědom, a slíbil pro XSS filtr uvolnit opravnou aktualizaci. Nestane se tak však v nejbližší době. Podle mluvčí Microsoftu si hodně času vyžádá důkladné testování updatu a s vydáním finální opravy je tak prý možní počítat někdy během června.

Majitelé ostatních prohlížečů, obsahujících také cross-site scripting filtr, nejsou podle Lindsayho ohroženi. Chyba se týká pouze osmé verze Internetu Explorer. Za pozornost přitom stojí skutečnost, že například prohlížeč Chrome od Googlu s tímto typem ochrany přišel až po IE8 a do jisté míry se u něj i inspiroval. Google si nicméně stojí za tím, že jeho filtr je mnohem účinnější. Více se dočtete v článku Chrome má nové bezpečnostní funkce, inspiruje se u IE8.