Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Hloupá chyba v Internet Exploreru: stránka ví, co píšete a kam odcházíte

  22:00aktualizováno  22:00
Bezpečnostní výzkumník Manuel Caballero předvedl chybu v Internet Exploreru, včetně jeho nejnovější verze. Jakákoli stránka může pomocí skriptu odhalit, co uživatel napsal do adresního řádku. Oprava zatím není k dispozici.

Internet Explorer dovolí stránce „odposlechnout“, co píše uživatel do adresního řádku. | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Myslíte si, že prohlížeč má sloužit k zobrazování webových stránek, a webové stránky by tedy neměly mít přístup k tomu, co píšete jinam, než na tyto stránky? Vývojáři Internet Exploreru bohužel uživatele před zvědavými skriptíky tak docela neochránili. Bezpečnostní výzkumník Manuel Cabellero ukázal, jak lze v Internet Exploreru odchytit to, co uživatel píše do adresního řádku.

Můžete si to vyzkoušet - ukázka zranitelnosti funguje ve všech verzích Internet Exploreru, včetně té nejnovější jedenácté. Zkuste jít na tuto stránku a poté napište do adresního řádku jinou adresu, například pokus.cz a stiskněte Enter.

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního...

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního řádku.

Nejenže se nedostanete na požadovanou doménu, ale stránka navíc přesně ví, kam jste chtěli jít. Zranitelnost zneužívá chyb v implementaci tzv. kompatibilního zobrazení, které mělo sloužit pro zjednodušení přechodu na nové verze Internet Exploreru. Caballero vlastně podstrčí prohlížeči více „oken“, a stránka tak může odhalit, kam uživatel odchází. Útočník by tak například mohl podstrčit jinou verzi stránky a odchytit pak citlivá data. Nebo může jen sbírat data o tom, kam uživatel směřuje.

Caballero nekontaktoval Microsoft před tím, než informace o chybě publikoval, což je poměrně neobvyklý postup, zvláště u výzkumníka, který v minulosti odhalil několik dalších chyb (některé z nich už Microsoft opravil).

Oprava v současné době neexistuje a chyba je snadno implementovatelná. Doporučujeme proto nepoužívat Internet Explorer na stránkách, kterým nemůžete bezvýhradně důvěřovat. Chybu totiž může využít nejen stránka, na které se právě nacházíte, ale i jakákoli vložená komponenta. Chyba sice sama o sobě nevede k výraznému ohrožení, v kombinaci s dalším útokem ovšem může být nebezpečná.

Autor:




Hlavní zprávy

Další z rubriky

Vizualizace struktury diskuze Kialo.com
Dá se na internetu diskutovat rozumně? Platforma Kialo to chce zkusit

Nová platforma chce nabídnout nástroj pro racionální debaty. Snaží se o to především strukturováním diskuze a upřednostňováním podepřených argumentů.  celý článek

FarmaNaDlani.cz
Tipy na zajímavé weby: Kde nakoupit na farmách, ukáže interaktivní mapa

Čím dál víc lidí zajímá, kde se dá nakupovat lokálně a ne od velkovýrobců či zahraniční produkty. Pěstitele a výrobce snadno najdete na mapě FarmaNaDlani.cz....  celý článek

Nová dvoutisícová bankovka má na líci kosmodrom Vostočnyj, na rubu je most ve...
Chystá se ruská digitální měna. Kryptorubl nebudou uživatelé těžit

Digitální měna, která má poněkud jiná pravidla, než jsme si zvykli, vzniká v Rusku. Zcela pod kontrolou ji bude mít stát.  celý článek

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.