一般警報:不要打開互聯網探索,直到進一步通知! Deusen Company的安全研究人員David Leo在此瀏覽器中發現了一個特別危險的零日斷層。它允許互聯網用戶在錯誤的站點上陷入困境並從中竊取敏感信息。它在IE 11和IE 10上進行了測試,甚至都沒有避免全新的Spartan實驗性渲染引擎。 Microsoft於10月13日收到通知。正在創建補丁。
如果認為此漏洞是如此關鍵,則是因為它允許您在瀏覽器中繞過所謂的“同一孔”規則,該規則限制了同一頁面上不同Web字段之間的交互。結果:由於這個錯誤,海盜可以對Internet用戶諮詢的任何網頁上的“跨站點腳本”(XSS)攻擊。這就是為什麼David Leo稱他為“通用XSS脆弱性”的原因。“攻擊者可以竊取任何東西或在另一個領域注入任何東西”,指定研究人員。
裸密碼注入
具體而言,此故障允許創建惡意鏈接,從而給用戶留下印像以到達真實的網頁(例如銀行網站),而頁面的代碼已由第三方更改。因此,海盜可以顯示錯誤的連接表格以竊取標識符,甚至贏得所有餅乾。
他只看到火災,因為瀏覽器中顯示的地址即使連接在HTTPS中,瀏覽器中顯示的地址也始終保持不變。
例如,戴維·列奧(David Leo)侵入了英國新聞網站《每日郵報》,用“被迪森(Deusen)入侵”一詞代替了內容。
在等待微軟提供修復程序時,建議使用其他瀏覽器,例如Mozilla Firefox或Google Chrome。
還閱讀:
Dailymotion用戶被Flash中的零日缺陷所困- 2015年2月2日
來源 :
seclists.org
