Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Hloupá chyba v Internet Exploreru: stránka ví, co píšete a kam odcházíte

  22:00aktualizováno  22:00
Bezpečnostní výzkumník Manuel Caballero předvedl chybu v Internet Exploreru, včetně jeho nejnovější verze. Jakákoli stránka může pomocí skriptu odhalit, co uživatel napsal do adresního řádku. Oprava zatím není k dispozici.

Internet Explorer dovolí stránce „odposlechnout“, co píše uživatel do adresního řádku. | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Myslíte si, že prohlížeč má sloužit k zobrazování webových stránek, a webové stránky by tedy neměly mít přístup k tomu, co píšete jinam, než na tyto stránky? Vývojáři Internet Exploreru bohužel uživatele před zvědavými skriptíky tak docela neochránili. Bezpečnostní výzkumník Manuel Cabellero ukázal, jak lze v Internet Exploreru odchytit to, co uživatel píše do adresního řádku.

Můžete si to vyzkoušet - ukázka zranitelnosti funguje ve všech verzích Internet Exploreru, včetně té nejnovější jedenácté. Zkuste jít na tuto stránku a poté napište do adresního řádku jinou adresu, například pokus.cz a stiskněte Enter.

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního...

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního řádku.

Nejenže se nedostanete na požadovanou doménu, ale stránka navíc přesně ví, kam jste chtěli jít. Zranitelnost zneužívá chyb v implementaci tzv. kompatibilního zobrazení, které mělo sloužit pro zjednodušení přechodu na nové verze Internet Exploreru. Caballero vlastně podstrčí prohlížeči více „oken“, a stránka tak může odhalit, kam uživatel odchází. Útočník by tak například mohl podstrčit jinou verzi stránky a odchytit pak citlivá data. Nebo může jen sbírat data o tom, kam uživatel směřuje.

Caballero nekontaktoval Microsoft před tím, než informace o chybě publikoval, což je poměrně neobvyklý postup, zvláště u výzkumníka, který v minulosti odhalil několik dalších chyb (některé z nich už Microsoft opravil).

Oprava v současné době neexistuje a chyba je snadno implementovatelná. Doporučujeme proto nepoužívat Internet Explorer na stránkách, kterým nemůžete bezvýhradně důvěřovat. Chybu totiž může využít nejen stránka, na které se právě nacházíte, ale i jakákoli vložená komponenta. Chyba sice sama o sobě nevede k výraznému ohrožení, v kombinaci s dalším útokem ovšem může být nebezpečná.

Autor:


Nejčtenější

Vdechl život zapomenuté technologii, na jeho hodiny je pořadník

Moderní digitrony jsou nádherným designovým prvkem.

Historická technologie ve zcela moderním precizním provedení. Digitronové hodiny „Nixie Clock“ Dalibora Farného slaví...

Tři sestry postmoderních válek popisuje antropolog Radan Haluzík

Tři sestry u kořene masové mobilizace postmoderních válek: vypjaté emoce,...

Proč šel soused do války? A proč jiní muži jdou zase vydělávat do ciziny a v rodné vesnici staví obrovské vily jako...



Obludná Škoda RSO z Mladé Boleslavi se nepovedla, navrhl ji Porsche

Vojenský tahač Škoda RSO (Radschlepper Ost) vyráběný v letech 1942 až 1944

Ne vše, na co sáhl génius Ferdinand Porsche, se povedlo. Ukázkovým příkladem je těžký kolový dělostřelecký tahač, který...

Prehistorický Google Earth. Zjistěte, kde byste byli před miliony let

Ancient Earth

3D mapa naší planety inspirovaná glóbem Google Earth vás zavede do minulosti. Projděte si jednotlivá historická období...

Eurotank bude německo-francouzský hybrid. Demonstrátor už jezdí a střílí

EMBT je hybrid mezi tanky Leopard 2 a Leclerc

Až 5000 tanků v hodnotě 75 miliard eur by měly dle německých prognóz nakoupit v příštích 20 až 30 letech evropské...

Další z rubriky

Nový útok zneužívá GDPR. Klienti Fiobanky by se měli mít na pozoru

Podvodný e-mail, který se snaží získat od uživatelů přihlašovací údaje.

Podvodná zpráva mířící na klienty Fio banky se z nich snaží vylákat přihlašovací údaje.

Šéf Googlu: Naše AI nebude sloužit zbraním, projekt Maven však dokončíme

Sundar Pichai

V médiích se ve spojitosti s Googlem už měsíce skloňuje americký projekt Maven, který má za úkol analýzu záběrů z...

Vy lajkujete, Kazma s Marešem boxují. Kutil propojil Facebook s realitou

O tom, kdo udeří, rozhodujete na Camaradiu vy.

Lajk, nebo srdíčko? První znamená úder pro Kazmu, zvolíte-li srdíčko, dostane pěstí Mareš. Pimprlové divadélko na dálku...

Najdete na iDNES.cz