USD 71.68 ЕВРО 87.33

Уязвимость в IE позволяет злоумышленникам отслеживать движение курсора

Экономика

12.12.12

Уязвимость в IE позволяет злоумышленникам отслеживать движение курсора

Рекламщики используют дыру в Internet Explorer для отслеживания движений мыши, совершаемых пользователями на их сайте. Эта же уязвимость может использоваться злоумышленниками для считывания аутентификационных данных при вводе через экранную клавиатуру.

Ник Джонсон, разработчик ПО из компании Spider.io, занимающейся
онлайн-аналитикой, утверждает, что брешь в безопасности Internet Explorer 6-10
может позволять злоумышленникам отслеживать движения мыши пользователя, что
потенциально может привести к краже данных, вводимых через виртуальную
клавиатуру.

Ник Джонсон, до перехода в Spider.io работавший в Компании Google, этим
утром разместил подробное описание уязвимости в
рассылке Bugtraq.

«Модель событий в Internet Explorer создает глобальный объект Event с
некоторыми свойствами, связанными с событиями мыши, даже в тех ситуациях, когда
это происходить не должно. В совокупности с возможностью запускать события
вручную через метод fireEvent(), это позволяет скриптам на JavaScript на любой
странице (или через размещенный на ней iframe) запрашивать положение курсора
мыши в любой части экрана и в любое время, даже если вкладка с этой страницей в
данный момент неактивна, а окно Internet Explorer свернуто или находится не в
фокусе».

Получение данных о положении курсора может иметь серьезные последствия для
систем, где аутентификация производится через экранную клавиатуру. Это сравнимо
с кейлоггерами, отслеживающими нажатие клавиш. Не подвержены этой уязвимости
только виртуальные клавиатуры с клавишами каждый раз располагающимися в
случайном порядке.

На видео продемонстрирован принцип работы уязвимости:

Компания Spider.io также выпустла специальный
веб-сайт, зайдя на который через
IE можно увидеть уязвимость в действии, и игру, в которой нужно по логам
движения мыши угадывать, что именно было введено.