05. 02. 2015

Výzkumník David Leo ze společnosti Deusen zveřejnil informace o zranitelnosti nultého dne, která postihuje známý webový prohlížeč Internet Explorer 11 od společnosti Microsoft. Analytik Zaakiy Siddiqui doplnil, že zranitelnost se týká i prohlížeče Internet Explorer 10. Z dalších analýz vyplývá, že útok lze aplikovat i na stránky využívající protokol HTTPS pro bezpečnou komunikaci.

Charakteristika zranitelnosti

Tato chyba umožňuje útočníkům pomocí Cross-Site-Scripting (XSS) obejít Same-Origin-Policy (SOP), jeden ze základních mechanismů zabezpečení webového prohlížeče.

Postižené systémy

Windows 7
Windows 8.1
Windows 10

Dopad zranitelnosti

Útočníci mohou získat přístup k přihlašovacím údajům, cookies, důvěrným datům z jiných domén, nebo vkládat na webové stránky škodlivý kód.

Řešení

Doporučujeme nainstalovat patch, v okamžiku kdy bude společností Microsoft zveřejněn. Do té doby je vhodné dbát zvýšené pozornosti při otevírání odkazů z nedůvěryhodných zdrojů, při návštěvách neznámých webových stránek a kontrolovat své odhlášení při odchodu ze stránek, které vyžadují přihlašovací údaje.

CVE

CVE-2015-0072

Odkazy

http://thehackernews.com/2015/02/internet-explorer-xss.html
http://seclists.org/fulldisclosure/2015/Feb/21
http://www.welivesecurity.com/2015/02/04/internet-explorer-exploit-let-phishers-steal-logins/
https://nakedsecurity.sophos.com/2015/02/04/internet-explorer-has-a-cross-site-scripting-zero-day-bug/