IE blottlegger muspekeren

Sårbarhet lar nettsider overvåke dine bevegelser.

En hvilken som helst nettside kan overvåke muspekeren din gjennom en feil i Internet Explorer, advarer selskapet Spider.io.
En hvilken som helst nettside kan overvåke muspekeren din gjennom en feil i Internet Explorer, advarer selskapet Spider.io.
13. des. 2012 - 09:53

En feil i Internet Explorer (IE) gjør det mulig å overvåke alle musbevegelser, selv om nettleservinduet er inaktivt eller minimert.

En nettside kan utstyres med JavaScript-kode som sporer muspekeren din. Dette kan kompromittere autentiseringssystemer med (virtuelle) skjermtastaturer, som noen benytter for å redusere risiko for at tasteloggere fanger opp kredittkortnummer, passord og andre sensitive opplysninger.

Alle versjoner av nettleseren som Microsoft fortsatt støtter skal være berørt: IE6, IE7, IE8, IE9 og IE10.

Det melder webanalyseselskapet Spider.io som sier de informerte Microsoft om sårbarheten i begynnelsen av oktober.

Prøv selv i en harmløs demonstrasjon av sårbarheten de har lagt ut her: iedataleak.spider.io/demo.

Ingen fiks

Microsoft skal ha erkjent sårbarheten, uten at svaret var særlig oppløftende.

- De sa også at det ikke foreligger noen umiddelbare planer om å rette feilen med en sikkerhetsfiks, opplyser Spider.io.

- Misbrukes i annonser

Videre hevder de at sårbarheten allerede blir utnyttet av minst to ikke navngitte annonseanalyse-selskaper med over en milliard sidevisninger i måneden.

JavaScript

Feilen skal skyldes at IE tilgjengeliggjør verdier for musbevegelser i Event-objektet, selv i situasjoner der dette ikke bør forekomme.

- Kombinert med muligheten til å utløse event (hendelser) manuelt med fireEvent()-metoden gjør det mulig å spore posisjonen til muspekeren med JavaScript på enhver nettside (eller i en iframe). Selv om fanen som viser nettsiden ikke er aktiv, eller om nettleservinduet ikke er aktivt eller minimert. fireEvent()-metoden blottlegger også tilstanden til ctrl-, shift- og alt-knappene, skriver Spider.io i sin kunngjøring.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.