Onko Internet Explorer menettänyt arkaluonteisia tietoja?

Spider.io, yritys, jonka tehtävänä on auttaa asiakkaita erottamaan todelliset verkkosivustot ja automatisoidut bot-toiminnot, väittää löytäneensä virhe, joka vaikuttaa Internet Explorerin nykyiseen Microsoftin lippulaivaselaimeen, versiot 6-10. Haavoittuvuus kertoo, että hiiren osoittimen sijainti voidaan seurata aina, kun se on ruudulla - vaikka IE onkin minimoitu.

Spider.io paljasti heikkoutta Microsoftille 1. lokakuuta 2012, mutta sitä ei ole käsitelty Internet Explorerin viimeisimmässä tietoturvapäivityksessä. Spider.io väittää, että virhe on aktiivisesti hyödynnetty ja väittää, että Microsoft Security Research Center (MSRC) on tunnustanut haavoittuvuuden, mutta sillä ei ole välitöntä suunnitelmaa sen korjaamiseksi.

[Lue lisää: Haittaohjelmien poistaminen Windowsista PC]

Virhe IE: ssa voi vuotaa mahdollisesti arkaluonteisia tietoja

Kysyin Microsoftilta kantaansa väitetystä haavoittuvuudesta. Tiedottaja lähetti minulle tämän virallisen vastauksen: "Tutkitaan parhaillaan tätä asiaa, mutta tähän mennessä ei ole tehty raportteja aktiivisista hyödykkeistä tai asiakkaista, jotka ovat kärsineet haittaa. Saat lisätietoja, kun se tulee saataville ja ryhtyy asianmukaisiin toimiin asiakkaidemme suojelemiseksi. "

VMwaren tutkimus- ja kehitystyön johtaja Jason Miller kysyy, onko ongelma" bug "tai" ominaisuus ". "Voidaan kyseenalaistaa, onko tämä haavoittuvuus tai selain käyttöön otettu ominaisuus, jonka avulla voidaan määrittää käyttömittarit. Riippumatta tutkijat ovat osoittaneet, että tätä "kysymystä" voitaisiin käyttää haitallisesti. "

Puhuin Qualys CTO Wolfgang Kandekin kanssa. Hän ilmaisi huolestuneisuutensa tällaisen haavoittuvuuden vaikutuksista verkkopankkiin. Monet pankit ovat toteuttaneet näyttöruudun virtuaalisia näppäimistöjä kirjautumistietojen syöttämiseksi keinona välttää perinteisiä keylogger-hyökkäyksiä.

nCirclen turvallisuustoiminnan johtaja Andrew Storms on samaa mieltä. "Tämä hyödyntäminen tekee siitä lieventämisen tyhjäksi - sillä on avainloggerin vaikutus virtuaalisiin näppäimistöihin. Hyökkääjät saattavat kaapata pankkivaltuutuksiin liittyvät napsautukset käyttämällä tätä hyötysuhdetta, eikä se ole hyvä uutinen 63 miljoonalle amerikkalaiselle, joka verkossa verkossa. "

CORE Securityn johtava tuotepäällikkö Alex Horan lisää nämä" turvalliset "verkkosivustot ei ehkä ole niin turvallinen. "Se vahvistaa myös sitä, että koska vierailet YouTubessa tai New York Timesissa, se ei tarkoita sitä, että kaikki sivuston sisällöt omistavat tai hallinnoivat niitä - paljastavat haitalliset mainokset luotetuilla mainstream-sivustoilla - on erinomainen tapa altistaa hyökkäyksesi suuri määrä käyttäjiä. "

Horan ehdottaa, että luopuu IE: stä siihen asti, kunnes Microsoft korjaa ongelman.

Storms sanoo:" Jos tämä haavoittuvuus on vahvistettu, se voi vaatia kaistanleveyttä ja jokainen haluaisi välttää tämän lomakauden. "