En feil i Internet Explorer (IE) gjør det mulig å overvåke alle musbevegelser, selv om nettleservinduet er inaktivt eller minimert.
En nettside kan utstyres med JavaScript-kode som sporer muspekeren din. Dette kan kompromittere autentiseringssystemer med (virtuelle) skjermtastaturer, som noen benytter for å redusere risiko for at tasteloggere fanger opp kredittkortnummer, passord og andre sensitive opplysninger.
Alle versjoner av nettleseren som Microsoft fortsatt støtter skal være berørt: IE6, IE7, IE8, IE9 og IE10.
Det melder webanalyseselskapet Spider.io som sier de informerte Microsoft om sårbarheten i begynnelsen av oktober.
Prøv selv i en harmløs demonstrasjon av sårbarheten de har lagt ut her: iedataleak.spider.io/demo.
Ingen fiks
Microsoft skal ha erkjent sårbarheten, uten at svaret var særlig oppløftende.
- De sa også at det ikke foreligger noen umiddelbare planer om å rette feilen med en sikkerhetsfiks, opplyser Spider.io.
- Misbrukes i annonser
Videre hevder de at sårbarheten allerede blir utnyttet av minst to ikke navngitte annonseanalyse-selskaper med over en milliard sidevisninger i måneden.
JavaScript
Feilen skal skyldes at IE tilgjengeliggjør verdier for musbevegelser i Event-objektet, selv i situasjoner der dette ikke bør forekomme.
- Kombinert med muligheten til å utløse event (hendelser) manuelt med fireEvent()-metoden gjør det mulig å spore posisjonen til muspekeren med JavaScript på enhver nettside (eller i en iframe). Selv om fanen som viser nettsiden ikke er aktiv, eller om nettleservinduet ikke er aktivt eller minimert. fireEvent()-metoden blottlegger også tilstanden til ctrl-, shift- og alt-knappene, skriver Spider.io i sin kunngjøring.
Les også:
- [02.10.2012] IE suveren på sikkerhet
- [24.09.2012] Sikkerhetsfikser både IE og Flash
- [20.09.2012] – Ikke bytt ut IE
- [19.09.2012] - Velg en annen nettleser
- [18.09.2012] Internet Explorer angripes
