A Microsoft está investigando uma suposta vulnerabilidade no seu navegador flagship Internet Explorer.
O buraco cross-site scripting divulgado sábado pelo hacker de David Leo inclui prova funcional de código de conceito, de acordo com relatos confirmados.
Vulture do Sul informou a falha para Microsoft sexta-feira e foi-me dito que está trabalhando para desenvolver um patch. Nós não tenha sido oferecido um prazo fo a correção.
A falha teria trabalha contra instâncias atualizadas do navegador operando em Windows 7.
Nós não deve ligar para a falha porque a página de demonstração funciona uma pilha de roteiros, mas se você quiser vê-lo no trabalho apontar seu navegador para http://ift.tt/1ze4mGm, onde Leo explica o exploit.
Tumblr bod segurança Joey Fowler escrito na lista de discussão Full Disclosure disse que a vulnerabilidade era uma ameaça credível e perigoso.
"Enquanto a página (s) a ser enquadrado não contêm um cabeçalho X-frame-Opções (com` `deny` ou valores do mesmo origem controlada), ele executa com sucesso", disse Fowler em um post confirmada.
"Enquanto se aguarda a carga que está sendo injetado, a maioria das políticas de segurança de conteúdo também são ignoradas (por injecção de HTML em vez de JavaScript)."
Fowler disse que disponibilizadas todas as cross-site scripting vetores viáveis para os atacantes.
Leo usado "notícia" site The Daily Mail para demonstrar o ataque. Usuários do Internet Explorer clicando em seu trabalhada seria servido um usuários rápidas e diretas para a página de correio onde uma página externa foi carregada lendo 'hackeado por Deusen'.
A barra de endereços do navegador permaneceria inalterada durante o ataque tornando um atraente meio de phishing usuários que poderiam ser facilmente utilizados em ataques ao vivo antes de Redmond lançando um patch. ®
Nenhum comentário:
Postar um comentário