ช่องโหว่ของ "การเขียนสคริปต์สากลข้ามสถานที่" ช่วยให้คุณสามารถดักจับเว็บไซต์ใด ๆ ในขณะที่รอการแก้ไขของ Microsoft ขอแนะนำให้ใช้เบราว์เซอร์อื่น
การแจ้งเตือนทั่วไป: อย่าเปิดอินเทอร์เน็ตเพื่อสำรวจจนกว่าจะแจ้งให้ทราบล่วงหน้า! David Leo นักวิจัยด้านความปลอดภัยจาก บริษัท Deusen ได้ค้นพบความผิดพลาดที่เป็นศูนย์ที่อันตรายอย่างยิ่งในเบราว์เซอร์นี้ ช่วยให้ผู้ใช้อินเทอร์เน็ตกับดักบนเว็บไซต์ที่ผิดพลาดและขโมยข้อมูลที่ละเอียดอ่อน มันได้รับการทดสอบใน IE 11 และ IE 10 และไม่ได้สำรองเครื่องมือแสดงผลการทดลองของ Spartan ใหม่ล่าสุด Microsoft ได้รับแจ้งเมื่อวันที่ 13 ตุลาคม การสร้างแพทช์กำลังดำเนินการ
หากช่องโหว่นี้ถือว่าสำคัญมากอาจเป็นเพราะมันช่วยให้คุณสามารถหลีกเลี่ยงกฎที่เรียกว่า "ต้นกำเนิดเดียวกัน" ซึ่งเรียกว่าการโต้ตอบระหว่างเว็บฟิลด์ที่แตกต่างกันในหน้าเดียวกัน ผลลัพธ์: ด้วยความผิดพลาดนี้โจรสลัดสามารถโจมตี "การเขียนสคริปต์ข้ามไซต์" (XSS) บนหน้าเว็บใด ๆ ที่ผู้ใช้อินเทอร์เน็ตได้รับการพิจารณา นี่คือเหตุผลที่ David Leo เรียกเขาว่า "Universal XSS Vulnerability""ผู้โจมตีสามารถขโมยอะไรหรือฉีดทุกอย่างในสาขาอื่น"ระบุนักวิจัย
การฉีดรหัสเปลือย
ความผิดพลาดนี้ช่วยให้สร้างลิงก์ที่เป็นอันตรายซึ่งทำให้ผู้ใช้สามารถมาถึงหน้าเว็บที่แท้จริง (ตัวอย่างเช่นเว็บไซต์ธนาคาร) ในขณะที่รหัสของหน้าถูกเปลี่ยนแปลงโดยบุคคลที่สาม โจรสลัดสามารถแสดงรูปแบบการเชื่อมต่อที่ผิดพลาดเพื่อขโมยตัวระบุหรือแม้แต่ชนะคุกกี้ทั้งหมดของเขา
ผู้ใช้เขาเห็นเพียงไฟเนื่องจากที่อยู่ที่แสดงในเบราว์เซอร์ยังคงเหมือนเดิมแม้ว่าการเชื่อมต่อจะอยู่ใน HTTPS
ตัวอย่างเช่น David Leo แฮ็คเว็บไซต์ข่าวของ British Daily Mail แทนที่เนื้อหาด้วยวลี "แฮ็คโดย Deusen"
ในขณะที่รอให้ Microsoft ให้การแก้ไขขอแนะนำให้ใช้เบราว์เซอร์อื่นเช่น Mozilla Firefox หรือ Google Chrome
อ่านเพิ่มเติม:
ผู้ใช้ DailyMotion ติดกับข้อบกพร่องเป็นศูนย์ในแฟลช- 02/02/2015
แหล่งที่มา :
seclists.org
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
