Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Hloupá chyba v Internet Exploreru: stránka ví, co píšete a kam odcházíte

  22:00aktualizováno  22:00
Bezpečnostní výzkumník Manuel Caballero předvedl chybu v Internet Exploreru, včetně jeho nejnovější verze. Jakákoli stránka může pomocí skriptu odhalit, co uživatel napsal do adresního řádku. Oprava zatím není k dispozici.

Internet Explorer dovolí stránce „odposlechnout“, co píše uživatel do adresního řádku. | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Myslíte si, že prohlížeč má sloužit k zobrazování webových stránek, a webové stránky by tedy neměly mít přístup k tomu, co píšete jinam, než na tyto stránky? Vývojáři Internet Exploreru bohužel uživatele před zvědavými skriptíky tak docela neochránili. Bezpečnostní výzkumník Manuel Cabellero ukázal, jak lze v Internet Exploreru odchytit to, co uživatel píše do adresního řádku.

Můžete si to vyzkoušet - ukázka zranitelnosti funguje ve všech verzích Internet Exploreru, včetně té nejnovější jedenácté. Zkuste jít na tuto stránku a poté napište do adresního řádku jinou adresu, například pokus.cz a stiskněte Enter.

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního...

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního řádku.

Nejenže se nedostanete na požadovanou doménu, ale stránka navíc přesně ví, kam jste chtěli jít. Zranitelnost zneužívá chyb v implementaci tzv. kompatibilního zobrazení, které mělo sloužit pro zjednodušení přechodu na nové verze Internet Exploreru. Caballero vlastně podstrčí prohlížeči více „oken“, a stránka tak může odhalit, kam uživatel odchází. Útočník by tak například mohl podstrčit jinou verzi stránky a odchytit pak citlivá data. Nebo může jen sbírat data o tom, kam uživatel směřuje.

Caballero nekontaktoval Microsoft před tím, než informace o chybě publikoval, což je poměrně neobvyklý postup, zvláště u výzkumníka, který v minulosti odhalil několik dalších chyb (některé z nich už Microsoft opravil).

Oprava v současné době neexistuje a chyba je snadno implementovatelná. Doporučujeme proto nepoužívat Internet Explorer na stránkách, kterým nemůžete bezvýhradně důvěřovat. Chybu totiž může využít nejen stránka, na které se právě nacházíte, ale i jakákoli vložená komponenta. Chyba sice sama o sobě nevede k výraznému ohrožení, v kombinaci s dalším útokem ovšem může být nebezpečná.

Autor:



Nejčtenější

Být první nestačí. Spermie musí projít záhadným „pracovním pohovorem“

Vajíčko si podle některých vědců aktivně vybírá, kterou spermii vpustí k...

Spermie vyrážejí k vajíčku a ta nejrychlejší spermie vajíčko oplodní. Přibližně tak si většina lidí představuje...

Šetřily i na údržbě, krach musel přijít. Poslední let Pan Am z Prahy

Boeing 727-235 s registrací N4731 a jménem Clipper Allert, který jako poslední...

Legendární aerolinky Pan American definitivně skončily, oznámily 4. prosince 1991 světové agentury. Onoho dne před 26...



Vědci po 37 letech nastartovali motor a hned ten na nejvzdálenější sondě

Voyager 1

Vesmírná sonda Voyager se nyní pohybuje na hranici sluneční soustavy, a je to tak nejvzdálenější objekt, který kdy...

Certifikace nemusí stačit. Nové TV možná brzy nezvládnou všechny funkce

Informace o přítomnosti HbbTV služeb dané stanice v DVB-T vysílání

České radiokomunikace již déle něž rok testují televizní přijímače a set-top boxy pro nové pozemní vysílání. Aktuální...

Měla to být revoluce v létání. Před 50 lety poprvé vyjel Concorde z hangáru

První premiéra Concorde na veřejnosti v Toulouse.

Letiště Toulouse-Blagnac, pondělí 11.prosince 1967. Veřejnost má poprvé možnost na vlastní oči spatřit Concorde, první...



Další z rubriky

Nákup ze zahraničních e-shopů bude jednodušší. Už vás nepřesměrují do ČR

ilustrační snímek

Přeshraniční nákupy přes internet se v Evropské unii nově více přizpůsobí zákazníkovi.

Rizika Bitcoinu: zablokované účty v době největšího růstu i útoky na PC

Bitcoin pokořil hranici 10 tisíc amerických dolarů. (29. listopadu 2017)

Když ve středu překonávala cena virtuální měny Bitcoin jednu psychologickou hranici za druhou, objevil se jeden...

Smutné hovínko nebude. Komise typografů emotikon zavrhla jako „trapný“

Emotikon „smutné hromádky“ byl z oficiálního seznamu Unicode vyřazen

Konsorcium Unicode schválilo nové „oficiální“ emotikony, které budou přidány do znakové sady. Média si všimla hlavně...

11 dětských dárků, které vám na Boží hod nepolezou krkem
11 dětských dárků, které vám na Boží hod nepolezou krkem

Jaké vánoční dárky pro děti vybrat, aby jim dělaly radost dlouhé týdny (a vám se vyhnula migréna)?



Najdete na iDNES.cz