Bug-ul, sub forma unui script cross-site, este o varianta a unei vulnerabilitati a browserului Internet Explorer 6 descoperita inca din luna Mai a acestui an si nerezolvata pana acum. Aceasta poate fi folosita de catre hackeri pentru a patrunde in computerele personale si de a inregistra fiecare apasare de tasta a utilizatorului furand astfel parole si alte informatii strict confidentiale.

Intr-o conferinta a Microsoft de luna trecuta,  Manuel Caballero, fost angajat al companiei si tester independent a declarat ca a gasit o cale prin care poate "captura" fiecare actiune executata in browser, inclusiv tastele apasate si parolele introduse.

Secunia a descris amenintarea ca fiind cauzata de o eroare de validare in momentul interpretatii functiilor 'location' sau 'location.href' intr-o fereastra object. Acest lucru poate fi exploatat de un website malitios pentru a deschide un site de incredere si sa execute un script arbitrar in browserul utilizatorului.

Versiunea IE7 nu contine vulnerabilitatea, iar companiile Secunia si McAfee au confirmat acest lucru. Pana la publicarea unui patch care sa corecteze problema, utilizatorii sunt sfatuiti sa foloseasca varianta Microsoft IE7.

Yichong de la McAfee a mai precizat ca Microsoft a fost notificata in privinta vulnerabilitatii dar ca pana in acest moment reprezentantii companiei nu au dat un raspuns si nici nu au facut vreun comentariu.

 Sursa: ComputerWorld

---

Adauga acest articol in reteaua ta de socializare favorita: