Все широкораспространЈнные браузеры имеют механизм, позволяющие хакерам легко получить доступ к конфиденциальной информации пользователей, пишет CNews.ru.
Как предупреждают специалисты компании Secunia, популярные браузеры имеют встроенный механизм, позволяющий с подставного веб-сайта, созд
нного злоумышленниками, перенаправлять посетителей на оригинальный сайт, а затем управлять содержимым, отображаемым во всплывающем окне на оригинальном сайте. В результате злоумышленники получают доступ к критически важной информации – например, пароли и номера банковских счетов. Уязвимость присутствует в браузерах Internet Explorer, Mozilla, Firefox, Opera, Konqueror и Safari.
Программисты компании продемонстрировали механизм действия обнаруженной уязвимости на специальной веб-странице (http://secunia.com/multiple_browsers_window_injection_vulnerability_test/). Код, созданный ими, перенаправляет пользователя на сайт Citibank и контролирует все его действия. Томас Кристенсен (Thomas Kristensen), технический директор Secunia, назвал обнаруженную уязвимость “самым простейшим способом фишинга”. Тем не менее, он отметил, что при использовании уязвимости эксплуатируется не брешь в защите браузеров, а их расширенная функциональность.
Таким образом, использование механизма управления содержимым всплывающих окон, может быть инициировано только самим пользователем, в связи с чем эксперты советуют пользователям обращать особое внимание на индикацию, отображающуюся на панелях их браузеров – при использовании протоколов безопасности должны появляться соответствующие пиктограммы или сообщения, в противном случае передача данных идЈт по незащищЈнным каналам. При посещении сайтов, требующих введения конфиденциальной информации, специалисты рекомендуют держать открытым только одно окно веб-браузера.
“Разработчики браузеров не приняли во внимание изменения в составе текущих интернет-угроз. При этом тот факт, что существуют бреши в безопасности, позволяющие хакерам автоматически внедрять зловредный код в систему, не должен быть единственной заботой программистов”, – резюмировал г-н Кристенсен.