Cercetătorii de securitate de la Spider.io au descoperit unele comportamente potențial legate de browserul Web Microsoft Internet Explorer. folosiți Internet Explorer? Dacă faceți acest lucru, sperăm că ați aplicat deja actualizările de la Patch Marți la începutul acestei săptămâni. Dar, chiar dacă ați făcut-o, se pare că browserul dvs. ar putea fi în continuare vulnerabil la o problemă potențial serioasă.

Spider.io a dezvăluit vulnerabilitate față de Microsoft pe 1 octombrie 2012, dar nu a fost abordată în cea mai recentă actualizare de securitate pentru Internet Explorer. Spider.io afirmă că eroarea este exploatată în mod activ și susține că Microsoft Security Research Center (MSRC) a recunoscut vulnerabilitatea, dar nu are planuri imediate să o patcheze.

[Citirea suplimentară: Cum să eliminați programele malware de pe Windows PC]

Un bug în IE poate scana informații potențial sensibile

L-am întrebat pe Microsoft pentru poziția sa privind presupusa vulnerabilitate. Un purtător de cuvânt mi-a trimis acest răspuns oficial: "În prezent investigăm această problemă, dar până în prezent nu există rapoarte despre exploatări active sau despre clienți care au fost afectați negativ. Vom furniza informații suplimentare în momentul în care vor fi disponibile și vor lua măsurile adecvate pentru a proteja clienții noștri. "

Jason Miller, director de cercetare și dezvoltare pentru VMware, pune întrebări dacă problema este o" problemă "sau o" caracteristică ". "S-ar putea întreba dacă aceasta este o vulnerabilitate sau o caracteristică introdusă în browser pentru a ajuta la stabilirea unor valori de utilizare. Indiferent, cercetătorii au demonstrat că această "problemă" ar putea fi folosită în mod malefic. "

Am vorbit cu CTO-ul Qualys Wolfgang Kandek. El și-a exprimat îngrijorarea cu privire la implicațiile pe care o astfel de vulnerabilitate le-ar putea avea asupra serviciilor bancare online. Multe bănci au implementat tastaturi virtuale pe ecran pentru a introduce acreditările contului ca mijloc de a evita atacurile tradiționale de keylogger.

Andrew Storms, directorul operațiunilor de securitate pentru nCircle, este de acord. "Acest exploit face că diminuarea este nulă și neavenită - are efectul unui logger cheie asupra tastaturilor virtuale. Atacatorii ar putea capta clicurile legate de acreditările bancare folosind acest exploit și nu este o veste bună pentru cei 63 de milioane de americani bancari online. "

Alex Horan, senior manager de produs la CORE Security, adaugă că website-urile presupuse a fi" sigure " poate să nu fie atât de sigur. "De asemenea, susține că doar pentru că vizitați YouTube sau New York Times nu înseamnă că tot conținutul acestui site este deținut sau gestionat de aceștia - difuzarea de anunțuri rău intenționate pe site-urile de încredere este o modalitate excelentă de a vă expune atacul un volum mare de utilizatori. "

Horan sugerează abandonarea IE până când sau dacă problema nu este patchată de Microsoft

Storms spune:" Dacă această vulnerabilitate este confirmată, ea are potențialul de a solicita un patch din bandă și asta e ceva ce toată lumea ar dori să evite acest sezon de sărbători. "