Не далее как позавчера, во вторник, Microsoft выпустила очередной набор патчей, а всего день спустя стало широко известно о наличии очередной уязвимости в браузере Internet Explorer, классифицируемой как критическая. Она позволяет хакерам отслеживать движения курсора мыши на экране, начиная с шестой версии браузера и до последней.
По словам открывших данную уязвимость представителей веб-сайта Spider.io, использовать её можно, купив рекламный слот на сайте, который посещает атакуемый пользователь, при этом на его компьютер не устанавливается никаких вредоносных программ. Об обнаружении уязвимости было сообщено ещё в октябре, однако Microsoft пока что не собирается выпускать соответствующий патч.
А тем временем уязвимость используется уже по меньшей мере двумя компаниями, анализирующими рекламу на веб-страницах. Пока окно с использующим уязвимость рекламным слотом открыто, неважно активно оно или нет, свёрнуто или минимизировано – уязвимость работает в любом случае. Вряд ли можно заподозрить Microsoft в сознательном содействии интересам рекламодателей, с учётом включённой по умолчанию функции Do Not Track в последней версии IE, к большому их неудовольствию.
Анализ рекламных предпочтений пользователей аналитическими компаниями может оказаться самым невинным последствием использования данной уязвимости. Например, использование виртуальных клавиатур в банковских онлайн-сервисах при введении логина и пароля потенциально может представлять более значительную угрозу.