Новая уязвимость всех версий Internet Explorer

Новая уязвимость, связанная с куки, была обнаружена во всех версиях браузера Internet Explorer на всех версиях Windows.

Итальянец Розарио Валотта (Rosario Valotta), исследователь в области интернет-безопасности, обнаружил уязвимость и назвал её «уязвимость нулевого дня» (0-day vulnerability). Эксплоит позволяет злоумышленнику получить доступ к куки жертвы без использования межсайтового скриптинга (XSS). Хакеры могут создать специальный сайт с целью заставить пользователя перемещать картинки или объекты. Эта техника позволяет злоумышленнику, используя данную уязвимость, получить доступ к куки пользователя, которые могут содержать логины и пароли доступа к различным веб-сайтам.

Валотта создал на своей странице в Facebook приложение, предлагающее «раздеть фотографию привлекательной женщины». «Я опубликовал эту страницу, и в течении трёх дней на моём сервере оказались 80 похищенных куки, при том что у меня всего 150 друзей на Facebook», рассказал он в интервью агентству Reuters.

Microsoft отреагировала на проблему, сообщив, что она не представляет большой опасности. «Учитывая требуемый уровень взаимодействия пользователей, мы считаем, что она не представляет большой угрозы», заявил менеджер центра безопасности Microsoft Джерри Брайант (Jerry Bryant). «Чтобы подвергнуться воздействию этой уязвимости, пользователь должен посетить вредоносный сайт, кликнуть и перетащить объекты по странице, а злоумышленники должны нацелиться на куки именно с тех сайтов, на которых пользователь залогинился».