В новой версии программы Internet Explorer нашли брешь в сфере межстраничного скриптинга (XSS), используя которую можно легко обойти применяемую политику единственности происхождения. Используя такие бреши, компьютерные мошенники могут запросто подменить содержимое интернет-сайта, получив при этом всю необходимую информацию о конкретном пользователе.

Самым первым о наличии подобного недостатка поделился Дейвид Лео (David Leo) с предприятия Deusen в Великобритании используя рассылку по электронной почте Full Disclosure. Кроме того, им же были опубликованы и PoC-коды уязвимости, при помощи которой наглядно демонстрируется использование бреши на примере портала газеты Daily Mail. В процессе открытия портала данного издания при помощи сформированной для этих целей странички с использованием браузеров Internet Explorer 10 или Internet Explorer 11, сайт демонстрирует надпись “Hacked by Deusen”, в то же самое время адресная строка в браузере остается без каких-либо изменений.

Так, каждый хакер сможет заменить, например, сайт банка, подключив туда форму для ввода имен, паролей или даже кода защиты, который приходит на мобильный телефон пользователя. В то же самое время клиенту будет демонстрироваться URL необходимого банка в строке адресов браузера, и он не сможет заподозрить чего-нибудь неладного.

Кроме того, данная уязвимость создает условия для владельца сайта, который посещен пользователем IE, заполучить его личные данные с раскрытием cookie-файлов, в которых содержится огромное количество защищенных данных (включая логины, пароли, номера телефонов и прочих данных).

В Microsoft отреагировали на сигналы Дейвида Лео в почтовых рассылках, сказав при этом, что знают о наличии уязвимости, а также что компания не получила посланий об обнаружении аналогичной вредоносной бреши со стороны пользователей. «Мы призываем пользователей не переходить по ссылкам, которые получены из сомнительных источников, а также не переходить на сайты, являющиеся сомнительными», - сказали в источнике.

Один из представителей компани Sucuri Даниэль Сид (Daniel Cid) вместе со многими специалистами сферы информационной безопасности сказал, что владельцы интернет-порталов смогут создать собственную защиту от использования подобной уязвимости в браузере с использованием специальных компонентов кодировки, включая заголовки формата X-Frame Options значений “deny”, либо “same-origin”. Как заявил Сид, подобными заголовками сегодня пользуются крайне редко.

Вероятнее всего, патч к заявленной уязвимости будет выпущен в начале февраля текущего года, тогда Microsoft собирается представит ряд обновлений для собственной линейки программной продукции.