Об обнаружении серьезной уязвимости в Internet Explorer сообщил вчера исследователь Мануэль Кабальеро (Manuel Caballero). Путем несложных действий злоумышленники могут незаметно узнать, что именно вводит в адресную строку браузера пользователь: поисковые запросы, адреса сайтов в интернете и внутренних сетях. Дальнейшие действия могут варьироваться от относительно безобидного сбора данных для онлайн-рекламы до подготовки таргетированных атак.

Уязвимость возникает в режиме совместимости с более ранними версиями (до 8-й), в который браузер переходит автоматически, если соответствующая пометка есть в коде HTML-страницы. Множество безобидных сайтов предписывают Internet Explorer работать в режиме совместимости.

Чтобы использовать уязвимость, злоумышленникам достаточно добавить в HTML-тег <object> любого объекта на странице скрипт, который заставит его считать себя окном верхнего уровня, а своим адресом — адрес открытой веб-страницы, и затем передавать этот адрес кому угодно. Для внедрения скрипта даже не обязательно взламывать сайт: проще всего встроить его в объекты, остающиеся под контролем сторонних по отношению к сайту лиц, например в рекламные баннеры.

Сам по себе адрес страницы, на которой размещен объект с вредоносным скриптом, не представляет большой ценности для злоумышленников — они и так его знают. Однако когда пользователь переходит по ссылке или вводит в адресную строку URL или поисковый запрос, зараженный объект успевает передать новый адрес своим хозяевам. Заметить происходящее пользователь не может.

Исследователь отмечает, что Microsoft недостаточно внимательно относится к исправлению уязвимостей в Internet Explorer, хотя официально поддержку браузера не прекращала, и 17% пользователей до сих пор верны этому браузеру. Ранее Кабальеро также выявил в IE баг, позволяющий вредоносному Javascript-коду постоянно работать в фоновом режиме даже после того, как пользователь закрыл опасную страницу.

Напомним, что всего две недели назад Microsoft выпустила обновление для Edge и Internet Explorer, в котором были исправлены 22 критических уязвимости. Однако ошибки, о которой сообщил Кабальеро, в их числе не было.

Категории: Аналитика, Уязвимости