Zranitelnost má být paradoxně v komponentě, která měla proti těmto útokům chránit – na stránkách, které se pokoušejí o útoky, tato komponenta přepisuje nebezpečné znaky neškodnými (output encoding). V přepisu má být ale chyba, která umožňuje útok i z jinak bezpečných webů, protože výsledkem mohou být naopak nebezpečné znaky. Další problém má zase spočívat ve „falešném poplachu“, kdy filtr přepisuje znaky zcela neškodné. Příslušná ochranná komponenta v MSIE 8 je vnímána především jako odpověď Microsoftu na populární rozšíření NoScript prohlížeče Firefox.
Znepokojení nad chybou vyjádřil již Google, společnost ale údajně podnikla kroky, aby návštěvníkům jejich webů nic nehrozilo; došlo zde k zákazu XSS filtru. Microsoft problém zatím zkoumá, nicméně společnost nemá žádné informace o tom, že by k útokům tohoto typu reálně docházelo. David Ross z Microsoftu uvedl, že filtr jako celek se osvědčil a jeho fungování bude vždy kompromisem mezi bezpečností a přílišnou manipulací s obsahem webu na straně druhé.
Uživatelé, kteří by filtr XSS raději vypnuli, to mohou učinit v nabídce Možnosti Internetu-Zabezpečení-Vlastní úroveň-Povolit filtr XSS.
Zdroj: SecurityFocus.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU