Pratite nas preko RSS-aOpasan propust u Internet Exploreru 11 omogućava veoma efikasne fišing napade
Vesti, 05.02.2015, 09:30 AM
Istraživač Dejvid Leo otkrio je univeralni XSS (Cross Site Scripting) propust u Microsoftovom browseru Internet Explorer 11 koji bi mogao omogućiti napadačima da izvedu izuzetno ubedljive fišing napade na korisnike Windows 7 i Windows 8.1.
Propust u IE11 omogućava napadačima da izbegnu Same-Origin Policy (SOP), važan zaštitni mehanizam browsera koji postoji u svim browserima i koji sprečava skripte na sajtu da učitavaju sadržaj sa nekog drugog sajta.
Dejvid Leo je informacije o ovom propustu objavio u subotu, zajedno sa proof-of-concept exploit stranicom koja pokazuje kako funkcioniše napad na posetice nekog legitimnog sajta, a kao metu Leo je izabrao web sajt dailymail.co.uk.
Kada je otvorena u Internet Exploreru 11 na Windows 8.1, exploit stranica nudi korisniku link. Kada se klikne na link, u novom prozoru otvara se sajt dailymail.co.uk, ali posle 7 sekundi sadržaj sajta se zamenjuje stranicom na kojoj piše “Hacked by Deusen”.
Dok se potencijalno maliciozni sadržaj prikazuje korisniku, adresna traka browsera i dalje prikazuje www.dailymail.co.uk, što pokazuje kako na ovaj način može biti izveden veoma uverljiv fišing napad.
Umesto dailymail.co.uk, napadač bi mogao da koristi sajt banke i da na ovaj način ubaci lažni formular tražeći od korisnika poverljive informacije. Browser bi i dalje prikazivao legitimni domen banke, tako da korisnik ne bi imao mnogo razloga da posumnja da se nešto neobično dešava.
Napad funkcioniše i ako ciljani sajtovi koriste HTTPS, tvrdi Džoi Fauler, inženjer bezbednosti u Tumblru, koji je potvrdio da postoji propust na koji je ukazao Dejvid Leo.
Propust je prijavljen Microsoftu 13. oktobra prošle godine i u kompaniji rade na tome da on što pre bude ispravljen.
Predstavnik kompanije Microsoft je rekao da oni ne znaju za napade u kojima se koristi ovaj propust. On je rekao da bi napadač koji bi pokušao da iskoristi ovaj propust najpre trebalo da dovede korisnika na maliciozni web sajt, a da SmartScreen koji je uključen po defaultu u novijim verzijama Internet Explorera, pomaže zaštiti od fišing web sajtova.
“Nastavljamo da ohrabrujemo korisnike da izbegavaju otvaranje linkova uz nepouzdanih izvora i posećivanje nepouzdanih sajtova, ali i da se odjave kada napuštaju sajtove da bi zaštitili svoje informacije”, kažu iz Microsofta.
Izdvojeno
WhatsApp za mlađe od 13: novi nalozi pod nadzorom roditelja
WhatsApp je predstavio novu funkciju dizajniranu posebno za decu mlađu od 13 godina, uvodeći naloge kojima upravljaju roditelji sa ciljem bezbednije... Dalje
ChatGPT kao terapeut: korisnici dele lične priče uprkos rizicima po privatnost
Ljudi sve češće koriste ChatGPT i generativnu veštačku inteligenciju za duboko lične teme — od emotivnog rasterećenja do traženja saveta... Dalje
Ugašena C2 infrastruktura botneta koji su zarazili preko tri miliona uređaja
Zajednička akcija vlasti iz SAD, Nemačke i Kanade rezultirala je gašenjem komandno-kontrolne (C2) infrastrukture koju su koristili botneti Aisuru, ... Dalje
Vidar 2.0: Majstor digitalne krađe širi se među gejmerima sa GitHuba i Reddita
Istraživači iz Acronis TRU upozoravaju na novu kampanju koja cilja pre svega mlađe gejmere, koristeći lažne varalice za popularne igre poput Fort... Dalje
INTERPOL upozorava: veštačka inteligencija podstiče finansijske prevare širom sveta
Novi izveštaj INTERPOL-a ukazuje na ubrzanu evoluciju globalnih finansijskih prevara, koje postaju sve sofisticiranije zahvaljujući veštačkoj inte... Dalje
Pratite nas
Nagrade
Prijatelji
