IE: dwuletnia luka powoduje wycieki danych

IE: dwuletnia luka powoduje wycieki danych
07.09.2010 11:13
IE: dwuletnia luka powoduje wycieki danych
Źródło zdjęć: © Microsoft

Znana już od dawna luka w Internet Explorerze 8 pozwala napastnikom na wprowadzenie w błąd mechanizmu Same Origin Policy przez odwoływanie się do arkuszy CSS (Cascading Style Sheets) i wykradanie w ten sposób danych osobistych ofiary.

Znana już od dawna luka w Internet Explorerze 8 pozwala napastnikom na wprowadzenie w błąd mechanizmu Same Origin Policy przez odwoływanie się do arkuszy CSS (Cascading Style Sheets) i wykradanie w ten sposób danych osobistych ofiary.

Zagrożenie

Chris Evans z zespołu bezpieczeństwa Google'a zademonstrował to na przykładzie exploita, który został stworzony z myślą o Twitterze, ale można go przenieść także na inne strony. Kiedy odwiedzający witrynę pokazową jest zarejestrowany w tym serwisie krótkich wiadomości tekstowych, strona ekstrahuje token uwierzytelniający z Twittera i może bez większych przeszkód wysyłać w imieniu użytkownika wiadomości.

Luka jest znana już od dwóch lat i zdążyła się już pojawić prawie we wszystkich popularnych przeglądarkach – wygląda jednak na to, że nikt nie zwrócił uwagi na poświęcony jej artykuł, który napisano w języku japońskim. Dopiero rok później, gdy Evans nagłośnił w blogu tę sprawę, producenci przeglądarek zareagowali i stopniowo jeden po drugim zabrali się do zabezpieczania swoich produktów.

Kiedy w końcu w lipcu zareagowała Mozilla, już tylko Internet Explorer w aktualnej wersji (a także starszych wydaniach) jest podatny na ataki tego typu.

Problem

W zasadzie napastnicy mogą wykorzystywać tę lukę na wszystkich stronach, które pozwalają użytkownikom wpisywać własny tekst. W przykładzie z Twitterem wystarczy jeden komunikat z zawartością {}body{font-family:" – jeśli napastnik zaimportuje twitterowy kanał jako plik CSS, może za sprawą tolerancyjnego dla błędów składni przetwarzania w IE odczytać elementy kodu źródłowego jako właściwość font-family CSS-a. Wspólnie z trzema studentami z Carnegie Mellon University Evans opublikował szczegółowy dokument (PDF) o tak zwanych atakach Cross-Origin CSS.

Rozwiązanie

Nie istnieje jeszcze rozwiązanie problemu.

Ochrona

Jako że atak z zasady nie wymaga zastosowania JavaScriptu, dla użytkowników Internet Explorera właściwie w tym momencie nie ma skutecznej ochrony.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (4)