Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Hloupá chyba v Internet Exploreru: stránka ví, co píšete a kam odcházíte

  22:00aktualizováno  22:00
Bezpečnostní výzkumník Manuel Caballero předvedl chybu v Internet Exploreru, včetně jeho nejnovější verze. Jakákoli stránka může pomocí skriptu odhalit, co uživatel napsal do adresního řádku. Oprava zatím není k dispozici.

Internet Explorer dovolí stránce „odposlechnout“, co píše uživatel do adresního řádku. | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Myslíte si, že prohlížeč má sloužit k zobrazování webových stránek, a webové stránky by tedy neměly mít přístup k tomu, co píšete jinam, než na tyto stránky? Vývojáři Internet Exploreru bohužel uživatele před zvědavými skriptíky tak docela neochránili. Bezpečnostní výzkumník Manuel Cabellero ukázal, jak lze v Internet Exploreru odchytit to, co uživatel píše do adresního řádku.

Můžete si to vyzkoušet - ukázka zranitelnosti funguje ve všech verzích Internet Exploreru, včetně té nejnovější jedenácté. Zkuste jít na tuto stránku a poté napište do adresního řádku jinou adresu, například pokus.cz a stiskněte Enter.

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního...

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního řádku.

Nejenže se nedostanete na požadovanou doménu, ale stránka navíc přesně ví, kam jste chtěli jít. Zranitelnost zneužívá chyb v implementaci tzv. kompatibilního zobrazení, které mělo sloužit pro zjednodušení přechodu na nové verze Internet Exploreru. Caballero vlastně podstrčí prohlížeči více „oken“, a stránka tak může odhalit, kam uživatel odchází. Útočník by tak například mohl podstrčit jinou verzi stránky a odchytit pak citlivá data. Nebo může jen sbírat data o tom, kam uživatel směřuje.

Caballero nekontaktoval Microsoft před tím, než informace o chybě publikoval, což je poměrně neobvyklý postup, zvláště u výzkumníka, který v minulosti odhalil několik dalších chyb (některé z nich už Microsoft opravil).

Oprava v současné době neexistuje a chyba je snadno implementovatelná. Doporučujeme proto nepoužívat Internet Explorer na stránkách, kterým nemůžete bezvýhradně důvěřovat. Chybu totiž může využít nejen stránka, na které se právě nacházíte, ale i jakákoli vložená komponenta. Chyba sice sama o sobě nevede k výraznému ohrožení, v kombinaci s dalším útokem ovšem může být nebezpečná.

Autor:



Nejčtenější

Nejšťastnější americká stíhačka. Pilot ji opustil, a tak přistála sama

Convair F-106A Delta Dart

Před téměř půlstoletím se stal v americké Montaně zázrak. Z nebe se snesl na pšeničné pole proudový letoun, který byl...

Nejvtipnější chyby z českého hitu Kingdom Come: Deliverance

Kingdom Come: Deliverance

Kingdom Come je obrovská a propracovaná hra, ale její autory čeká ještě spousta práce při odlaďování mnoha chyb, které...



Prohledejte půl miliardy uniklých hesel. Najdete tam i to svoje?

Ilustrační foto

Úniků dat, často velmi citlivých, stále přibývá. O spoustě z nich se ani nemusíme dozvědět. Kromě e-mailových adres...

Vyfotil jeden jediný atom. Stačil běžný foťák a složitá past

Snímek zachycující jediný atom stroncia v tzv. iontové pasti. Atom je uprostřed...

Atomy jsou pouhým okem neviditelné, to víme všichni. Ale pokud je správně nasvítíte a připravíte pro ně vhodné...

Internet levně a rychle. SpaceX načíná další „megalomanský“ projekt

Falcon 9 připravený pro misi Paz. Všimněte si nového aerodynamického krytu...

Na oběžnou dráhu dnes odstartovala další raketa firmy SpaceX. Tentokrát na palubě ponese mimo jiné i dva experimentální...

Další z rubriky

Továrna na náhodu: romantická stěna na recepci jistí 10 % internetu

Lávové lampy jako zdroj náhodných čísel

Společnost Cloudflare je zodpovědná za šifrování až desetiny celosvětového internetového provozu. Možná nejzajímavějším...

Ode dneška bez agresivních reklam. Chrome začne ty „špatné“ blokovat

Koalice za lepší reklamu

Filtr pro blokování reklam v prohlížečích Google Chrome firma spouští ve čtvrtek 15. února. Nebude blokovat všechny...

Rusko zkouší ovlivnit dění všude po světě. Jinak, než si většina myslí

Představy o ruských hackerech jsou často zjednodušené (ilustrační snímek)

Otázka tzv. ruského vlivu na internetu se řeší v USA, v Česku i jinde ve světě. Rusko využívá mimo jiné i kyberprostor...

Takový normální porod
Takový normální porod

O porodu s časovým odstupem, nadhledem a snad i s vtipným podextem píše uživatelka eMimino.cz.

Najdete na iDNES.cz