Является ли Internet Explorer утечкой конфиденциальной информации?

Do вы используете Internet Explorer? Если вы это сделаете, надеюсь, вы уже применили обновления от патча во вторник в начале этой недели. Но, даже если вы это сделали, кажется, ваш браузер все еще может быть уязвим для потенциально серьезной проблемы.

Spider.io, компания в бизнесе, помогающая клиентам различать фактических посетителей веб-сайта и автоматическую активность ботов, утверждает, что обнаружила недостаток, который влияет на Internet Explorer на текущий флагманский браузер от Microsoft, версии с 6 по 10. Уязвимость, по сообщениям, позволяет отслеживать позицию курсора мыши везде, где она находится на экране, даже если IE сведен к минимуму.

Spider.io раскрыл уязвимость к Microsoft с 1 октября 2012 года, но она не была устранена в последнем обновлении безопасности для Internet Explorer. Spider.io утверждает, что этот недостаток активно используется и утверждает, что Microsoft Security Research Center (MSRC) признал эту уязвимость, но не имеет немедленного плана для ее исправления.

[Дополнительная информация: Как удалить вредоносное ПО из вашей Windows PC]

Ошибка в IE может привести к утечке потенциально конфиденциальной информации

Я попросил Microsoft указать ее предполагаемую уязвимость. Пресс-секретарь отправил мне этот официальный ответ: «В настоящее время мы расследуем эту проблему, но на сегодняшний день нет сообщений об активных эксплойтах или клиентах, которые пострадали. Мы предоставим дополнительную информацию по мере ее появления и предпримем соответствующие меры для защиты наших клиентов ».

Джейсон Миллер, менеджер по исследованиям и разработкам для VMware, задает вопрос, является ли проблема« ошибкой »или« функцией ». «Можно задаться вопросом, является ли эта уязвимость или функция, введенная в браузер, чтобы помочь установить показатели использования. Несмотря на это, исследователи доказали, что этот «вопрос» можно использовать злонамеренно ».

Я разговаривал с техническим директором Qualys Вольфганом Кандеком. Он выразил озабоченность по поводу последствий, которые могут иметь уязвимости для онлайн-банкинга. Многие банки внедрили виртуальные клавиатуры на экране для ввода учетных данных в качестве средства предотвращения традиционных атак на кейлоггер.

Эндрю Стормс, директор по операциям по безопасности для nCircle, согласен. «Этот эксплойт отображает, что смягчение недействительно и пустое - это действие ключевого регистратора на виртуальных клавиатурах. Атакующие потенциально могут захватить клики, связанные с банковскими учетными данными, используя этот эксплойт, и это не является хорошей новостью для 63 миллионов американцев, которые находятся в онлайн-банке ».

Алекс Хоран, старший менеджер по продуктам CORE Security, добавляет, что предположительно« безопасные »веб-сайты может быть не столь безопасным. «Это также подтверждает, что только потому, что вы посещаете YouTube или« Нью-Йорк таймс », не означает, что все содержимое на этом сайте принадлежит им или управляется ими - обслуживание вредоносных объявлений на доверенных основных сайтах - отличный способ подвергнуть вашу атаку большой объем пользователя. "

Хоран предлагает отказаться от IE до тех пор, пока проблема не будет исправлена ​​Microsoft.

Storms говорит:« Если эта уязвимость будет подтверждена, она может потребовать исправления внеполосного и это то, что все хотели бы избежать в этот праздничный сезон ».