Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Hloupá chyba v Internet Exploreru: stránka ví, co píšete a kam odcházíte

  22:00aktualizováno  22:00
Bezpečnostní výzkumník Manuel Caballero předvedl chybu v Internet Exploreru, včetně jeho nejnovější verze. Jakákoli stránka může pomocí skriptu odhalit, co uživatel napsal do adresního řádku. Oprava zatím není k dispozici.

Internet Explorer dovolí stránce „odposlechnout“, co píše uživatel do adresního řádku. | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Myslíte si, že prohlížeč má sloužit k zobrazování webových stránek, a webové stránky by tedy neměly mít přístup k tomu, co píšete jinam, než na tyto stránky? Vývojáři Internet Exploreru bohužel uživatele před zvědavými skriptíky tak docela neochránili. Bezpečnostní výzkumník Manuel Cabellero ukázal, jak lze v Internet Exploreru odchytit to, co uživatel píše do adresního řádku.

Můžete si to vyzkoušet - ukázka zranitelnosti funguje ve všech verzích Internet Exploreru, včetně té nejnovější jedenácté. Zkuste jít na tuto stránku a poté napište do adresního řádku jinou adresu, například pokus.cz a stiskněte Enter.

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního...

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního řádku.

Nejenže se nedostanete na požadovanou doménu, ale stránka navíc přesně ví, kam jste chtěli jít. Zranitelnost zneužívá chyb v implementaci tzv. kompatibilního zobrazení, které mělo sloužit pro zjednodušení přechodu na nové verze Internet Exploreru. Caballero vlastně podstrčí prohlížeči více „oken“, a stránka tak může odhalit, kam uživatel odchází. Útočník by tak například mohl podstrčit jinou verzi stránky a odchytit pak citlivá data. Nebo může jen sbírat data o tom, kam uživatel směřuje.

Caballero nekontaktoval Microsoft před tím, než informace o chybě publikoval, což je poměrně neobvyklý postup, zvláště u výzkumníka, který v minulosti odhalil několik dalších chyb (některé z nich už Microsoft opravil).

Oprava v současné době neexistuje a chyba je snadno implementovatelná. Doporučujeme proto nepoužívat Internet Explorer na stránkách, kterým nemůžete bezvýhradně důvěřovat. Chybu totiž může využít nejen stránka, na které se právě nacházíte, ale i jakákoli vložená komponenta. Chyba sice sama o sobě nevede k výraznému ohrožení, v kombinaci s dalším útokem ovšem může být nebezpečná.

Autor:



Nejčtenější

„Neříkej, že už to děláme!“ Tahák šéfa Facebooku ukazuje, čeho se bál

Mark Zuckerberg vypovídá před americkým Kongresem. Jeho poznámky unikly na...

Mark Zuckerberg, zakladatel a šéf sociální sítě Facebook, vypovídal dlouhé hodiny před americkými kongresmany v...

Napište BFF, abyste ukázali, jak jste důvěřiví. Po Facebooku se šíří hoax

Zkratka BFF na Facebooku sice zezelená, ale žádné zabezpečení tím neověříte,...

Po Facebooku se šíří další hoax. Tentokrát slibuje rychlé ověření zabezpečení účtu. Nabádá uživatele, aby pod příspěvek...



Sklep v Říčanech vydává 600 let starou záhadu. Poklad ukrytý před Žižkou

Pražské groše z říčanského pokladu

Do toho hrnečku se vešly veškeré rodinné úspory. Proč je majitel do svého sklepa ukryl, nevíme jistě. Jisté ovšem je,...

Voda na Marsu je. Chová se však zvláštně a může i levitovat

Na povrchu Marsu můžeme spatřit nejenom doklady o proudění kapalné vody v...

Dva experimenty ukázaly, že na povrchu Marsu se voda chová výrazně jinak, než jsme zvyklí. Například místní „bahno“...

Youtuber zaplakal. V přímém přenosu mu hackeři ukradli 40 milionů

Ian Balina zřejmě během hacku přišel o více než dva miliony dolarů v...

Přijít o miliony dolarů je ve světě kryptoměn až neuvěřitelně snadné. Přesvědčil se o tom i Ian Balina, americký...

Další z rubriky

Ruské úřady zablokovaly komunikační aplikaci Telegram

Messenger Telegram

Šifrovaná komunikační síť Telegram, která odmítla vydat ruským úřadům přístup ke komunikaci uživatelů, byla...

Rusko rozhodlo o zablokování populární komunikační sítě Telegram

Messenger Telegram

Moskevský soud nařídil zablokování přístupu k šifrované komunikační službě Telegram po celém Rusku. Důvodem je, že tato...

V Rusku se bojuje o komunikační síť Telegram. Odnáší to Google i Amazon

Messenger Telegram

Rusko se od pondělí snaží zablokovat ruskou obdobu WhatsAppu. Firma se pokouší obejít zákaz i za pomoci služeb Amazonu,...

Najdete na iDNES.cz