Новая уязвимость, связанная с куки, была обнаружена во всех версиях браузера Internet Explorer на всех версиях Windows.
Итальянец Розарио Валотта (Rosario Valotta), исследователь в области интернет-безопасности, обнаружил уязвимость и назвал её «уязвимость нулевого дня» (0-day vulnerability). Эксплоит позволяет злоумышленнику получить доступ к куки жертвы без использования межсайтового скриптинга (XSS). Хакеры могут создать специальный сайт с целью заставить пользователя перемещать картинки или объекты. Эта техника позволяет злоумышленнику, используя данную уязвимость, получить доступ к куки пользователя, которые могут содержать логины и пароли доступа к различным веб-сайтам.
Valotta создал загадку того, в котором оспаривались пользователям "раздеть" фотографию привлекательной женщиной. "Я опубликовал эту игру онлайн на FaceBook и менее чем за три дня, более 80 печенье были направлены на мой сервер", сказал он агентству Рейтер. "И у меня только 150 друзей". Valotta создал презентации и веб-страницы подробным эксплуатировать.
Microsoft отреагировала на проблему, сообщив, что она не представляет большой опасности. «Учитывая требуемый уровень взаимодействия пользователей, мы считаем, что она не представляет большой угрозы», заявил менеджер центра безопасности Microsoft Джерри Брайант (Jerry Bryant). «Чтобы подвергнуться воздействию этой уязвимости, пользователь должен посетить вредоносный сайт, кликнуть и перетащить объекты по странице, а злоумышленники должны нацелиться на куки именно с тех сайтов, на которых пользователь залогинился».
Обновление: Google отключил сайт Valotta за нарушения условия использования.
Автор перевода с анг яз: Cepejka