Ranljivost v Internet Explorerju razkriva vnose v naslovno vrstico
Matej Huš
29. sep 2017 ob 11:08:57
Čeprav je Microsoft izdal nov brskalnik Edge, na katerega želi navaditi čim več ljudi, še vedno številni uporabljajo stari Internet Explorer. Raziskovalec Manuel Caballero je v najnovejši verziji Internet Explorerja odkril nenavadnega hrošča, ki spletnim stranem omogoča dostop do vsebine, ki jo uporabniki zapišejo v naslovno vrstico (address bar). Microsoft je v odzivu za zdaj le megleno dejal, da preiščejo vse prijavljene ranljivosti in popravke ponudijo na običajen način, torej drugi torek v mesecu.
Ko uporabnik Internet Explorerja obišče stran, ki izkorišča omenjeno ranljivost, in jo želi zapustiti tako, da v naslovno vrstico vpiše naslov druge strani ali kakšen drug podatek (IE ključne besede avtomatično razrešuje z iskalnikom Bing), obiskana spletna stran ta podatek lahko prestreže. Caballero je postavil tudi spletno stran, kjer v praksi prikaže koncept ranljivosti. Toda v resnici ni nujno, da se ranljivost izkorišča tako, da obiskovalec strani to vidi. To je na omenjeni spletni strani le zato, da nam jasno pokaže, katere podatke lahko spletna stran pridobi od nas. V praksi bi napadalci to verjetno izkoriščali tako, da tega ne bi razkrili. Cabellero je podrobnosti o ranljivosti opisal na svoji strani.