Výskumník objavil bezpečnostný problém vo webových prehliadačoch, ktorý by mohol hackerom umožniť čítať uložené súbory na pevnom disku obete.
Uverejnil Michal Zalewski podrobnosti o nedostatkoch, ktoré by mohli ukradnúť údaje ľudí prostredníctvom škodlivého webu, na bezpečnostnom mailing listu Bugtraq. Zistilo sa, že chyba ovplyvňuje IE aj Firefox.
„Bohužiaľ, existujú určité problémy, ktoré umožňujú používateľom selektívne zadávanie klávesnice na nesúvisiacich miestach, transparentne presmerovaný na tieto vstupné polia, a teda ovplyvniť výber súborov podľa predstáv útočníka,“ uviedol Zalewski vo svojom vysielanie.
Povedal, že aj keď sa niektoré prehliadače snažia zabrániť skrytiu poľa súboru, dá sa ľahko uložiť mimo obrazovku na záporné súradnice okna.
„Keď obeť zadala všetky písmená potrebné na rekonštrukciu cieľového súboru ako súčasť väčšieho, nesúvisiaci text, skript môže automaticky odoslať celý formulár vrátane citlivých súborov obete,“ povedal povedal.
Povedal, že chyba funguje v oboch prehliadačoch mierne odlišnými prostriedkami, ale pripustil, že chyby vyžadujú značné množstvo interakcie používateľa, aby boli účinné.
„Akákoľvek webová stránka, na ktorej možno odôvodnene očakávať, že používateľ zadá nejaký text (webová hra ovládaná klávesnicou, príspevok na blogu alebo komentár rozhranie, webový rozhovor alebo captcha) sa môžu pokúsiť zneužiť túto zraniteľnosť a nakoniec uspieť u jedného alebo druhého používateľa,“ povedal Zalewski.
Ďalšia chyba vo Firefoxe by mohla umožniť hackerom zmeniť súbor cookie používateľa, čo by zase mohlo ovplyvniť spôsob zobrazenia inej webovej stránky.
Microsoft uviedol vo vyhlásení, že jeho vyšetrovanie odhalilo, že útočník by mohol získať prístup k užívateľským súborom, ak je umiestnenie daného súboru už známe.
„Aby bol útočník úspešný, musel by vopred presvedčiť používateľa, aby zadal umiestnenie súboru na webovú stránku útočníka prostredníctvom sociálneho inžinierstva,“ uviedol hovorca spoločnosti. „Po dokončení tohto vyšetrovania prijme spoločnosť Microsoft príslušné opatrenia na ochranu našich zákazníkov.“
