Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

Исследователь считает, что IE подвержен уязвимости с воровством cookie-файлов

Напечатать страницу
30.05.2011 12:40 | Betelgeuse

Итальянский исследователь в сфере компьютерной безопасности обнаружил в Internet Explorer уязвимость в дизайне, которая, по его словам, могла бы дать хакерам возможность "украсть" cookie-файлы (так называемая техника cookiejacking) с ПК, а затем с их помощью войти на защищенные паролем веб-сайты.

Называя этот эксплойт "воровством cookies", Росарио Валотта (Rosario Valotta) заявляет, что уязвимости "нулевого дня" присутствуют в каждой версии IE от Microsoft на любой версии Windows, что позволяет злоумышленнику украсть практически любой cookie-файл для любого веб-сайта.

Представляя свои выводы на конференциях по вопросам компьютерной безопасности в Швейцарии и Амстердаме в этом месяце, Валотта признает, что для того, чтобы воспользоваться этой уязвимостью, хакеры должны учитывать некоторые моменты социальной инженерии, поскольку, для того, чтобы украсть cookie-файл, нужно, чтобы жертва переместила объект на компьютере.


Но Валотта также сказал, что ему удалось разработать правильный тип вызова на странице Facebook, который требует перетащить объект, "раздевая" изображение женщины на экране, что позволяет украсть учётную запись на Facebook с помощью cookie-файла.

"Я опубликовал эту онлайн-игру на Facebook, и менее чем за три дня, более 80 cookie-файлов были направлены на мой сервер" - сообщил он в интервью агентству Reuters. "При этом у меня только 150 друзей".

Странно, что Microsoft не видит реальной угрозы в воровстве cookie-файлов. "Учитывая уровень требуемого взаимодействия с пользователем, эта проблема не несёт в себе настолько серьёзного риска, чтобы применять к пользователям наказание в виде кода удалённого доступа" - написал представитель Microsoft Джерри Брайант (Jerry Bryant) в ответ на наш вопрос.

"Для того чтобы с наибольшей вероятностью подвергнуться краже cookie-файлов, пользователь должен посетить вредоносный веб-сайт, нажимать и перетаскивать элементы на странице, а злоумышленнику необходимо выбрать cookie-файл с веб-сайта, на который пользователь уже зашел" - добавил представитель Microsoft. "Мы призываем всех клиентов, чтобы защитить себя от возможных проблем, избегать нажатий на подозрительные ссылки и адреса электронной почты, а также увеличить уровень безопасности в настройках браузера".


Источник: http://news.cnet.com
Перевод: Betelgeuse

Комментарии

Не в сети

Опечатка: "При этому у меня только 150 друзей"

31.05.11 01:43
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
202.54 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.077 секунд (Общее время SQL: 0.023 секунд - SQL запросов: 47 - Среднее время SQL: 0.00049 секунд))
Top.Mail.Ru