О дыре сообщил израильский специалист по вопросам компьютерной безопасности Авив Рафф. Проблема связана с особенностями вывода браузером Microsoft страницы с сообщением об ошибке navcancl.htm. Данная страница хранится на локальном жестком диске и отображается на экране в том случае, если пользователь неожиданно прерывает процесс загрузки веб-сайта.
На странице navcancl.htm, в числе прочего, содержится ссылка, нажав на которую можно инициировать процесс повторной загрузки сайта. Однако если пользователь щелкнет по ссылке, злоумышленник при определенных условиях может вынудить браузер отобразить в адресной строке фальшивую информацию. Иными словами, на экран может быть выведена подставная страница с адресом и интерфейсом, например, онлайновой платежной системы. Таким образом, нападающий может похитить конфиденциальные данные о жертве, такие как номер банковского счета, кредитной карточки и пр.
Брешь присутствует в Internet Explorer 7 при использовании браузера на компьютерах, работающих под управлением операционных систем Windows ХР и Windows Vista. Авив Рафф представил пример программного кода, посредством которого можно задействовать уязвимость.
Корпорация Microsoft, как сообщает InfoWorld, уже поставлена в известность о проблеме, однако патча для дыры в настоящее время не существует. Впрочем, в Microsoft подчеркивают, что случаев практического использования уязвимости пока зарегистрировано не было.
|
