Sigurnosni dodatak u IE8 može se okrenuti protiv korisnika browser-a
Vesti, 21.04.2010, 00:16 AM
Dobra vest je da Microsoft Internet Explorer 8 nudi set filtera napravljenih sa ciljem sprečavanja cross-site scripting (XSS) napada. Loša vest je da isti ovi filteri mogu biti iskorišćeni upravo za ovakve napade. Ovo je ukratko suština prezentacije viđene na konferenciji Black Hat Europe u Barseloni.
Detalje ove prezentacije možete naći ovde.
Microsoft planira da objavi ažuriranje filtera kako bi sprečio scenario koji uključuje ovakve napade.
Tokom konferencije, dvojica istraživača, David Lindsay i Eduardo Vela Nava, upozorila su da XSS filter ugrađen u browser napadači mogu zloupotrebiti kako bi pokrenuli cross-site scripting napade na web sajtovima i web stranama koje bi inače bile imune na ovakvu pretnju.
Pomenuti istraživači su demonstrirali ovaj sigurnosni problem na primeru nekoliko visokoprofilisanih sajtova, uključujući Microsoft-ov Bing.com, Google.com, Wikipedia.org i Twitter.com.
Microsoft je izašao nedavno u javnost sa dva odvojena ažuriranja - MS10-002 i MS10-018 sa dubinskim promenama u pogledu odbrane koje se tiču problema o kojima se raspravljalo na konferenciji, a novo ažuriranje je najavljeno za jun kako bi se sprečio neki drugi scenario napada.
David Ross iz Microsoft Security Response Center objašnjava:
„Planira se da dodatno ažuriranje IE XSS Filtera bude objavljeno u junu. Ova promena će se odnositi na scenario sa cross-site scripting napadima koji je opisan u okviru prezentacije na konferenciji Black Hat EU . Problem se manifestuje kada štetan script „izađe“ iz okvira već postojeće konstrukcije script bloka...„
Uprkos svemu ovome, Ross uverava korisnike da je važno koristiti browser sa XSS filterom, jer on predstavlja korisnu zaštitu od velike grupe napada pa je u većini slučajeva dobrobit od ovog dodatka veća od eventualnih rizika od ranjivosti.
Izvor:
http://threatpost.com/en_us/blogs/microsoft-fix-ie-8-xss-filter-security-problems-042010
Dodatne informacije na:
Izdvojeno
Korisnici iPhonea mete napada upitima za resetovanje lozinke
Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje
Mobi Banka upozorava na pokušaje prevare na društvenim mrežama
Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje
Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare
Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje
Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare
Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje
Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji
Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje
Pratite nas
Nagrade