Hloupá chyba v Internet Exploreru: stránka ví, co píšete a kam odcházíte

  22:00aktualizováno  22:00
Bezpečnostní výzkumník Manuel Caballero předvedl chybu v Internet Exploreru, včetně jeho nejnovější verze. Jakákoli stránka může pomocí skriptu odhalit, co uživatel napsal do adresního řádku. Oprava zatím není k dispozici.

Internet Explorer dovolí stránce „odposlechnout“, co píše uživatel do adresního řádku. | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Myslíte si, že prohlížeč má sloužit k zobrazování webových stránek, a webové stránky by tedy neměly mít přístup k tomu, co píšete jinam, než na tyto stránky? Vývojáři Internet Exploreru bohužel uživatele před zvědavými skriptíky tak docela neochránili. Bezpečnostní výzkumník Manuel Cabellero ukázal, jak lze v Internet Exploreru odchytit to, co uživatel píše do adresního řádku.

Můžete si to vyzkoušet - ukázka zranitelnosti funguje ve všech verzích Internet Exploreru, včetně té nejnovější jedenácté. Zkuste jít na tuto stránku a poté napište do adresního řádku jinou adresu, například pokus.cz a stiskněte Enter.

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního...

Bezpečnostní zranitelnost Internet Exploreru spočívá v odposlechnutí adresního řádku.

Nejenže se nedostanete na požadovanou doménu, ale stránka navíc přesně ví, kam jste chtěli jít. Zranitelnost zneužívá chyb v implementaci tzv. kompatibilního zobrazení, které mělo sloužit pro zjednodušení přechodu na nové verze Internet Exploreru. Caballero vlastně podstrčí prohlížeči více „oken“, a stránka tak může odhalit, kam uživatel odchází. Útočník by tak například mohl podstrčit jinou verzi stránky a odchytit pak citlivá data. Nebo může jen sbírat data o tom, kam uživatel směřuje.

Caballero nekontaktoval Microsoft před tím, než informace o chybě publikoval, což je poměrně neobvyklý postup, zvláště u výzkumníka, který v minulosti odhalil několik dalších chyb (některé z nich už Microsoft opravil).

Oprava v současné době neexistuje a chyba je snadno implementovatelná. Doporučujeme proto nepoužívat Internet Explorer na stránkách, kterým nemůžete bezvýhradně důvěřovat. Chybu totiž může využít nejen stránka, na které se právě nacházíte, ale i jakákoli vložená komponenta. Chyba sice sama o sobě nevede k výraznému ohrožení, v kombinaci s dalším útokem ovšem může být nebezpečná.

Autor:


Nejčtenější

Nelíbí se mi, kam se internet vydal, říká vynálezce WWW. Chce to změnit

Tim Berners-Lee představuje vizi nového, decentralizovaného internetu...

V roce 1990 spustil první webový server a odstartoval tak revoluci. Díky němu se internet rozšířil do celého světa, do...

Mučení a vraždu novináře prý nahrály hodinky Apple. Nejspíš to bylo jinak

Apple Watch 2

Údajná vražda opozičního saúdskoarabského novináře Džamála Chášakdžího na konzulátu v Turecku vyvolává mezinárodní...



Ve věku 65 let zemřel na rakovinu Paul Allen, s Gatesem založil Microsoft

Paul Allen na snímku z prosince 2017.

Ve věku 65 letech zemřel v pondělí spoluzakladatel firmy Microsoft Paul Allen. Miliardář, filantrop a hledač lodních...

Návrat „imperialistického brouka“? Výzkumný program USA vzbudil obavy

Program „Hmyzí spojenci“ má změnit škůdce v pomocníky v zemědělství.

Skupina vědců v časopise Science varuje před možným zneužitím amerického výzkumného programu, který vyvíjí zcela nový...

Grafika snů: podrobné srovnání RTX 2080 s GTX 1080Ti

Porovnání grafických karet s čipem Nvidia GeForce RTX 2080 a GTX 1080Ti (vpravo)

Porovnali jsme novou grafickou kartu RTX 2080 s předchozí špičkou GTX 1080Ti. Výsledky jsou zajímavé a ačkoli v mnoha...

Další z rubriky

Tipy na zajímavé weby: zábavné procvičování znalostí i info o výplatě

Umímefakta.cz

Potrápit svůj mozek a poměřit síly s roboty či kamarády nabízí netradiční testy z několika oborů na Umímefakta.cz....

Google nemusí platit za data uživatelů iPhonu, rozhodli v Británii

Stránky sdružení Google You Owe Us, které podalo žalobu na Google

Britský Nejvyšší soud zablokoval žalobu na společnost Google za údajně nezákonné shromáždění údajů o milionech...

YouTube postihl dočasný výpadek, nefungoval ani v Česku

YouTube výpadek (ilustrační montáž)

Největší videoserver na světě a druhý nejnavštěvovanější server světa byl v noci na středu dlouho nedostupný. Výpadek...



Najdete na iDNES.cz