Διαβιβάστηκαν οι ευαίσθητες πληροφορίες από τον Internet Explorer;

Η Spider.io, μια επιχείρηση που βοηθά τους πελάτες να διακρίνουν μεταξύ των πραγματικών επισκεπτών του ανθρώπινου ιστότοπου και της αυτοματοποιημένης δραστηριότητας bot, ισχυρίζεται ότι έχει ανακαλύψει ένα ελάττωμα που επηρεάζει τον Internet Explorer από τον τρέχοντα πλοηγό πλοήγησης από τη Microsoft, εκδόσεις 6 έως 10. Η αναφερόμενη ευπάθεια επιτρέπει την παρακολούθηση της θέσης του δρομέα του ποντικιού οπουδήποτε και αν βρίσκεται στην οθόνη - ακόμη και αν ελαχιστοποιηθεί ο IE.

Το Spider.io αποκάλυψε ευπάθεια στη Microsoft την 1η Οκτωβρίου 2012, αλλά δεν εξετάστηκε στην πιο πρόσφατη ενημερωμένη έκδοση ασφαλείας για τον Internet Explorer. Η Spider.io υποστηρίζει ότι το ελάττωμα εκμεταλλεύεται ενεργά και ισχυρίζεται ότι το Κέντρο Ασφάλειας της Microsoft (MSRC) έχει αναγνωρίσει την ευπάθεια, αλλά δεν έχει άμεσο σχέδιο να το διορθώσει.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε τα κακόβουλα προγράμματα από τα Windows σας PC]

Ένα σφάλμα στο IE μπορεί να διαφύγει δυνητικά ευαίσθητες πληροφορίες

Ζήτησα από τη Microsoft τη θέση της σχετικά με την εικαζόμενη ευπάθεια. Ένας εκπρόσωπος μου έστειλε αυτή την επίσημη απάντηση: "Αυτή τη στιγμή διερευνούμε αυτό το ζήτημα, αλλά μέχρι σήμερα δεν υπάρχουν αναφορές ενεργών εκμεταλλεύσεων ή πελάτες που έχουν επηρεαστεί αρνητικά. Θα προσφέρουμε πρόσθετες πληροφορίες καθώς θα είναι διαθέσιμες και θα λάβουν τα κατάλληλα μέτρα για την προστασία των πελατών μας. "

Ο Jason Miller, διευθυντής της έρευνας και ανάπτυξης για το VMware, αμφισβητεί εάν το ζήτημα είναι ένα" σφάλμα "ή ένα" χαρακτηριστικό ". "Θα μπορούσαμε να αμφισβητήσουμε εάν πρόκειται για ένα θέμα ευπάθειας ή ένα χαρακτηριστικό που εισάγεται στο πρόγραμμα περιήγησης για να βοηθήσετε στη δημιουργία μετρήσεων χρήσης. Ανεξάρτητα από αυτό, οι ερευνητές έχουν αποδείξει ότι αυτό το "ζήτημα" θα μπορούσε να χρησιμοποιηθεί κακόβουλα. "

Μίλησα με τον CTO της Qualys Wolfgang Kandek. Εξέφρασε ανησυχίες σχετικά με τις συνέπειες που θα μπορούσε να έχει μια τέτοια ευπάθεια για τις ηλεκτρονικές τραπεζικές συναλλαγές. Πολλές τράπεζες έχουν υλοποιήσει εικονικά πληκτρολόγια στην οθόνη για την εισαγωγή διαπιστευτηρίων λογαριασμού ως μέσο αποφυγής των παραδοσιακών επιθέσεων keylogger.

Ο Andrew Storms, διευθυντής επιχειρήσεων ασφάλειας για nCircle, συμφωνεί. "Αυτή η εκμετάλλευση καθιστά αυτό το μετριασμό άκυρο και άκυρο - έχει την επίδραση ενός βασικού καταγραφέα στα εικονικά πληκτρολόγια. Οι επιτιθέμενοι θα μπορούσαν ενδεχομένως να συλλάβουν τα κλικ που σχετίζονται με τραπεζικά διαπιστευτήρια χρησιμοποιώντας αυτό το εκμεταλλευόμενο και αυτό δεν είναι καλή είδηση ​​για τα 63 εκατομμύρια Αμερικανών που τράπεζα στο διαδίκτυο ».

Ο Alex Horan, ανώτερος διευθυντής προϊόντων στο CORE Security, προσθέτει ότι υποτιθέμενα" μπορεί να μην είναι τόσο ασφαλής. "Ενισχύει επίσης ότι μόνο επειδή επισκέπτεστε το YouTube ή τους New York Times δεν σημαίνει ότι το σύνολο του περιεχομένου αυτού του ιστότοπου ανήκει ή διοικείται από αυτούς - η προβολή κακόβουλων διαφημίσεων σε αξιόπιστους ιστότοπους αποτελεί έναν εξαιρετικό τρόπο για να εκθέσετε την επίθεσή σας ένας μεγάλος όγκος χρηστών. "

Ο Horan προτείνει την εγκατάλειψη του IE έως ότου και αν το πρόβλημα δεν επιδιορθωθεί από τη Microsoft

Οι θύελλες λένε:" Εάν επιβεβαιωθεί αυτή η ευπάθεια, μπορεί να απαιτήσει ένα έμπλαστρο εκτός μπάντας και αυτό είναι κάτι που όλοι θα ήθελαν να αποφύγουν αυτή την εορταστική περίοδο. "