freegr.gr

Exploit στον Internet Explorer παρακολουθεί τα πάντα

Μια ευπάθεια που επηρεάζει τις εκδόσεις 6 έως 10 του Internet Explorer θα μπορούσε να καταστήσει δυνατή την παρακολούθηση των κινήσεων του ποντικιού από έναν hacker, ακόμα και αν το παράθυρο του προγράμματος περιήγησης είναι ελαχιστοποιημένο (minimized). Σύμφωνα με την Βρετανική εταιρεία web analytics Spider.io, αυτό σημαίνει ότι κωδικοί πρόσβασης και PIN θα μπορούσαν να υποκλαπούν από κάποιον πονηρό κλέφτη εάν πληκτρολογηθούν με κάποιο πληκτρολόγιο οθόνης. Επιπλέον, αυτή η ευπάθεια έχει γίνει ήδη αντικείμενο εκμετάλλευσης από δύο εταιρείες προβολής διαφημίσεων, σύμφωνα με την Spider.io, αλλά δεν κατονομάζονται.
 "Όσο η σελίδα με τη διαφήμιση που κάνει χρήση αυτού του προβλήματος παραμένει ανοιχτή, ακόμα και αν τεθεί σε κάποια background καρτέλα ή ακόμα και αν ελαχιστοποιηθεί το παράθυρο του Internet Explorer, οι κινήσεις του δείκτη του ποντικιού είναι δυνατόν να εντοπιστούν σε όλη την επιφάνεια της οθόνης", δήλωσε η Spider.io. Ακόμη η εταιρεία πρόσθεσε ότι, ενώ το πρόβλημα έχει εντοπιστεί από το Microsoft Security Research Center δεν υπάρχουν άμεσα σχέδια για την κυκλοφορία κάποιου patch. Η Spider.io δημοσίευσε επίσης τις τεχνικές λεπτομέρειες του exploit αυτού, το οποίο εμπλέκει το καθολικό αντικείμενο Event του προγράμματος περιήγησης, καθώς και ένα παιχνίδι κάνοντας επίδειξη του πως θα μπορούσε να παρακολουθηθεί η εισαγωγή στοιχείων από το χρήστη με ένα εικονικό πληκτρολόγιο.
"Το μοντέλο συμβάντων/δράσεων του Internet Explorer ενημερώνει το καθολικό αντικείμενο Event με κάποια χαρακτηριστικά που σχετίζονται με δράσεις του ποντικιού, ακόμα και σε περιπτώσεις που δεν πρέπει να γίνεται αυτό. Σε συνδυασμό με την ικανότητα να προκαλεί την ενεργοποίηση δράσεων χειροκίνητα με τη χρήση του αντικειμένου fireEvent(), επιτρέπει σε JavaScript σε οποιαδήποτε ιστοσελίδα (ή σε κάθε iframe σε οποιαδήποτε ιστοσελίδα) να εντοπίσει τον δείκτη του ποντικιού σε οποιοδήποτε σημείο στην οθόνη ανά πάσα στιγμή", δήλωσε η εταιρεία. Πηγή: InfoWorld

About Freegr network

0 Post a Comment:

يتم التشغيل بواسطة Blogger.