Уязвимость связанная с хранением Cookie найдена в Internet Explorer

Исследователи в области компьютерной безопасности обнаружили, что во всех версиях Internet Explorer, в том числе и в последней (IE9), присутствует одна и та же уязвимость, с помощью которой злоумышленники могут выкрасть данные учетных записей от любого сайта, требующего вход с паролем.

Эта уязвимость связана с тем, как Internet Explorer хранит и передает Cookie. Хоть все это и звучит крайне устрашающе, на самом деле, чтобы действительно выкрасть личные данные с помощью этой уязвимости, злоумышленникам потребуется достаточно плотное взаимодействие с пользователем. Вот вам еще один пример социальной инженерии.

Итальянский исследователь в области безопасности Розарио Валотта (Rosario Valotta) рассказал в интервью Reuters о там, как можно воспользоваться этой уязвимостью. В качестве примера взаимодействия с пользователем Розарио назвал веб-приложения, в которых требуется перетаскивание различных объектов в окне браузера. Такой метод основан на том, что координаты объектов записываются в Cookie, таким образом у приложения появляется доступ к ним. Также Розарио удалось создать работающее приложения для Facebook, на основе этого метода, которое предлагало пользователю раздеть женщину перетаскивая одежду мышкой.

Всего за три дня, после того как я опубликовал это приложение в Facebook, более 80 записей Cookie были присланы на мой сервер. И это при том, что у меня всего 150 друзей на Facebook.

Розарио Валотта - исследователь в области компьютерной безопасности.

Компания Microsoft незамедлительно отреагировала на это заявление:

Учитывая тот уровень взаимодействия с пользователей, который необходим для достижения целей злоумышленников, мы не считаем эту угрозу серьезной. Для того, чтобы данные попали в чужие руки, пользователю нужно зайти на вредоносный сайт и совершить там ряд определенных действий. Кроме того, злоумышленнику надо узнать на коком сайте пользователь сейчас авторизован.

Джерри Брайант - представитель Microsoft.

Тем не менее, мы хотим предостеречь всех пользователей, которые используют браузер Internet Explorer. Внимательно смотрите, какие приложения используете в сети.