شماره: IRCNE2015022420
تاريخ: 18/11/93
بر اساس تازه ترين اكتشافات، يك حفره امنيتي جدي در نسخه اصلاح شده IE به مهاجمان اجازه مي دهد تا اعتبارنامه هاي ورودي كاربران را به سرقت ببرند يا از طريق وب سايت ها حملات سرقت هويت را راه اندازي نمايند.
اين آسيب پذيري كه آخرين نسخه هاي اصلاح شده IE 11 را بر روي هر دو سيستم عامل ويندوز 7 و 8.1 تحت تاثير قرار مي دهد توسط David Leo ، محقق امنيتي از شركت امنيتي Deusen افشاء شده است. با توجه به جزئيات منتشر شده، آسيب پذيري IE به مهاجمان اجازه مي دهد تا خط مشي هاي Same-Origin را دور زده و محتوي مخربي را به وب سايت تزريق كرده يا اسكريپتي را اجرا نمايد.
اين حملات نه تنها مي تواند باعث شود تا حساب كاربري كاربران به سرقت برود بلكه مهاجم مي تواند از كوكي ها و HTML به سرقت رفته در كمپين هاي سرقت هويت سوء استفاده نمايد. براي انجام اين حملات لازم است تا مهاجم قرباني را تشويق كند تا بر روي لينك مخربي كه به يك وب سايت مخرب متصل است كليك كند و وب سايت مذكور را مشاهده نمايد.
در پاسخ به اين ادعاها، Tumblr Joey Fowler اظهار داشت كه علاوه بر دور زدن خط مشي Same-Origin، اين مشكل مي تواند محدويت هاي استاندارد HTTP به HTTPS را نيز دور بزند.
مهندسان مايكروسافت به دنبال يافتن راه حلي براي براي برطرف كردن اين آسيب پذيري مي باشند.
- 3