Найденная в браузере Internet Explorer уязвимость позволяет злоумышленникам получить доступ к данным пользователей, вроде логинов и паролей, и внедрять вредоносный код в сессии браузера. Известно о наличии уязвимости в IE 11 на Windows 7 и 8.1. Microsoft в настоящее время работает над выпуском обновления.
Уязвимость относится к межсайтовому скриптингу (cross-site scripting, XSS). Она позволяет обойти принцип одинакового источника (same origin policy), целью которого является ограничение доступа сайтов к куки-файлам, заданными другими сайтами. Несколько дней назад было представлено доказательство существования эксплоита, который позволяет обойти этот принцип при посещении специально созданных веб-страниц.
Группа под названием Deusen показала работоспособность эксплоита, внедрив фразу Hacked by Deusen на веб-сайт издания Daily Mail, что говорит о возможности внедрения кода HTML и JavaScript. С его помощью можно также получать доступ к хранимым на компьютере пользователя куки-файлам, после чего, войдя в аккаунт пользователя, можно получить более значимую информацию, вроде данных о кредитных картах, историю браузера и т.д.
В Microsoft сообщают, что об активном использовании уязвимости на данный момент неизвестно. В компании надеются, что входящий в состав последних версий инструмент SmartScreen поможет справится с фишинговыми атаками, хотя против точечных атак он может оказаться бессилен. Пока компания рекомендует избегать ссылок от непроверенных источников и посещения неизвестных сайтов, а также выходить из аккаунтов при уходе с сайтов.