IE blottlegger muspekeren

Sårbarhet lar nettsider overvåke dine bevegelser.

En hvilken som helst nettside kan overvåke muspekeren din gjennom en feil i Internet Explorer, advarer selskapet Spider.io.
En hvilken som helst nettside kan overvåke muspekeren din gjennom en feil i Internet Explorer, advarer selskapet Spider.io.
13. des. 2012 - 09:53

En feil i Internet Explorer (IE) gjør det mulig å overvåke alle musbevegelser, selv om nettleservinduet er inaktivt eller minimert.

En nettside kan utstyres med JavaScript-kode som sporer muspekeren din. Dette kan kompromittere autentiseringssystemer med (virtuelle) skjermtastaturer, som noen benytter for å redusere risiko for at tasteloggere fanger opp kredittkortnummer, passord og andre sensitive opplysninger.

Alle versjoner av nettleseren som Microsoft fortsatt støtter skal være berørt: IE6, IE7, IE8, IE9 og IE10.

Det melder webanalyseselskapet Spider.io som sier de informerte Microsoft om sårbarheten i begynnelsen av oktober.

Prøv selv i en harmløs demonstrasjon av sårbarheten de har lagt ut her: iedataleak.spider.io/demo.

Ingen fiks

Microsoft skal ha erkjent sårbarheten, uten at svaret var særlig oppløftende.

- De sa også at det ikke foreligger noen umiddelbare planer om å rette feilen med en sikkerhetsfiks, opplyser Spider.io.

- Misbrukes i annonser

Videre hevder de at sårbarheten allerede blir utnyttet av minst to ikke navngitte annonseanalyse-selskaper med over en milliard sidevisninger i måneden.

JavaScript

Feilen skal skyldes at IE tilgjengeliggjør verdier for musbevegelser i Event-objektet, selv i situasjoner der dette ikke bør forekomme.

- Kombinert med muligheten til å utløse event (hendelser) manuelt med fireEvent()-metoden gjør det mulig å spore posisjonen til muspekeren med JavaScript på enhver nettside (eller i en iframe). Selv om fanen som viser nettsiden ikke er aktiv, eller om nettleservinduet ikke er aktivt eller minimert. fireEvent()-metoden blottlegger også tilstanden til ctrl-, shift- og alt-knappene, skriver Spider.io i sin kunngjøring.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra