Læser Internet Explorer følsomme oplysninger?

Spider.io, et firma, der hjælper kunderne med at skelne mellem faktiske menneskelige websitere og automatiseret botaktivitet, hævder at have opdaget en fejl, der påvirker Internet Explorer den nuværende flagskibsbrowser fra Microsoft, versioner 6 til 10. Sårbarheden tillader angiveligt, at musemarkørpositionen spores, uanset hvor den er på skærmen - selvom IE minimeres.

Spider.io afslørede sårbarhed for Microsoft den 1. oktober 2012, men det blev ikke behandlet i den seneste sikkerhedsopdatering til Internet Explorer. Spider.io hævder, at fejlen udnyttes aktivt og hævder, at Microsoft Security Research Center (MSRC) har anerkendt sårbarheden, men har ingen øjeblikkelig plan for at patchere den.

[Yderligere læsning: Sådan fjernes malware fra dine Windows PC]

En fejl i IE kan lække potentielt følsomme oplysninger

Jeg spurgte Microsoft for sin holdning til den påståede sårbarhed. En talsmand sendte mig dette officielle svar: "Vi undersøger for øjeblikket dette problem, men til dato er der ingen rapporter om aktive udbytter eller kunder, der er blevet negativt påvirket. Vi vil levere yderligere oplysninger, som den bliver tilgængelig, og vil tage de nødvendige forholdsregler for at beskytte vores kunder. "

Jason Miller, leder af forskning og udvikling for VMware, spørger, om problemet er en" fejl "eller en" funktion ". "Man kan stille spørgsmålstegn ved, om dette er en sårbarhed eller en funktion, der introduceres i browseren for at hjælpe med at fastslå brugets beregninger. Uanset hvad forskerne har bevist, at dette "problem" kunne bruges ondskabsfuldt. "

Jeg talte med Qualys CTO Wolfgang Kandek. Han udtrykte bekymring over de konsekvenser, en sådan sårbarhed kan have for online banking. Mange banker har implementeret virtuelle tastaturer på skærmen for at indtaste kontooplysninger, som et middel til at undgå traditionelle keyloggerangreb.

Andrew Storms, direktør for sikkerhedsoperationer for nCircle, er enig. "Denne udnyttelse gør denne formindskelse ugyldig - det har effekten af ​​en nøgle logger på virtuelle tastaturer. Attackere kunne potentielt fange de klik, der er knyttet til bankoplysninger, ved hjælp af denne udnyttelse, og det er ikke en god nyhed for de 63 millioner amerikanere, som banken online. "

Alex Horan, senior produktchef hos CORE Security, tilføjer, at de angiveligt" sikre "websteder Måske er det ikke så sikkert. "Det forstærker også, at bare fordi du besøger YouTube eller New York Times betyder det ikke, at alt indhold på det pågældende websted ejes eller forvaltes af dem, og at du serverer ondsindede annoncer på tillid til almindelige websteder, er en fantastisk måde at afsløre dit angreb på et stort antal brugere. "

Horan foreslår at opgive IE indtil eller medmindre problemet er patchet af Microsoft.

Storms siger," Hvis denne sårbarhed er bekræftet, har den potentiale til at kræve en out-of-band-patch og det er noget, alle gerne vil undgå denne feriesæson. "