Ник Джонсон, разработчик ПО из компании Spider.io, занимающейся
онлайн-аналитикой, утверждает, что брешь в безопасности Internet Explorer 6-10
может позволять злоумышленникам отслеживать движения мыши пользователя, что
потенциально может привести к краже данных, вводимых через виртуальную
клавиатуру.
Ник Джонсон, до перехода в Spider.io работавший в Компании Google, этим
утром разместил подробное описание уязвимости в
рассылке Bugtraq.
«Модель событий в Internet Explorer создает глобальный объект Event с
некоторыми свойствами, связанными с событиями мыши, даже в тех ситуациях, когда
это происходить не должно. В совокупности с возможностью запускать события
вручную через метод fireEvent(), это позволяет скриптам на JavaScript на любой
странице (или через размещенный на ней iframe) запрашивать положение курсора
мыши в любой части экрана и в любое время, даже если вкладка с этой страницей в
данный момент неактивна, а окно Internet Explorer свернуто или находится не в
фокусе».
Получение данных о положении курсора может иметь серьезные последствия для
систем, где аутентификация производится через экранную клавиатуру. Это сравнимо
с кейлоггерами, отслеживающими нажатие клавиш. Не подвержены этой уязвимости
только виртуальные клавиатуры с клавишами каждый раз располагающимися в
случайном порядке.
На видео продемонстрирован принцип работы уязвимости:
Компания Spider.io также выпустла специальный
веб-сайт, зайдя на который через
IE можно увидеть уязвимость в действии, и игру, в которой нужно по логам
движения мыши угадывать, что именно было введено.