Internet Explorer 8 může umožňovat útoky přes cross-site scripting

3. 12. 2009

Sdílet

Server The Register uvádí, že Internet Explorer 8 obsahuje bezpečnostní chybu, která může umožnit útok typu cross-site scripting (XSS).

Zranitelnost má být paradoxně v komponentě, která měla proti těmto útokům chránit – na stránkách, které se pokoušejí o útoky, tato komponenta přepisuje nebezpečné znaky neškodnými (output encoding). V přepisu má být ale chyba, která umožňuje útok i z jinak bezpečných webů, protože výsledkem mohou být naopak nebezpečné znaky. Další problém má zase spočívat ve „falešném poplachu“, kdy filtr přepisuje znaky zcela neškodné. Příslušná ochranná komponenta v MSIE 8 je vnímána především jako odpověď Microsoftu na populární rozšíření NoScript prohlížeče Firefox.

Znepokojení nad chybou vyjádřil již Google, společnost ale údajně podnikla kroky, aby návštěvníkům jejich webů nic nehrozilo; došlo zde k zákazu XSS filtru. Microsoft problém zatím zkoumá, nicméně společnost nemá žádné informace o tom, že by k útokům tohoto typu reálně docházelo. David Ross z Microsoftu uvedl, že filtr jako celek se osvědčil a jeho fungování bude vždy kompromisem mezi bezpečností a přílišnou manipulací s obsahem webu na straně druhé.

Uživatelé, kteří by filtr XSS raději vypnuli, to mohou učinit v nabídce Možnosti Internetu-Zabezpečení-Vlastní úroveň-Povolit filtr XSS.

ICTS24

Zdroj: SecurityFocus.com

 

Autor článku