IE: dwuletnia luka powoduje wycieki danych

Znana już od dawna luka w Internet Explorerze 8 pozwala napastnikom na wprowadzenie w błąd mechanizmu Same Origin Policy przez odwoływanie się do arkuszy CSS (Cascading Style Sheets) i wykradanie w ten sposób danych osobistych ofiary.

Chris Evans z zespołu bezpieczeństwa Google'a zademonstrował to na przykładzie exploita, który został stworzony z myślą o Twitterze, ale można go przenieść także na inne strony. Kiedy odwiedzający witrynę pokazową jest zarejestrowany w tym serwisie krótkich wiadomości tekstowych, strona ekstrahuje token uwierzytelniający z Twittera i może bez większych przeszkód wysyłać w imieniu użytkownika wiadomości.

Luka jest znana już od dwóch lat i zdążyła się już pojawić prawie we wszystkich popularnych przeglądarkach – wygląda jednak na to, że nikt nie zwrócił uwagi na poświęcony jej artykuł, który napisano w języku japońskim. Dopiero rok później, gdy Evans nagłośnił w blogu tę sprawę, producenci przeglądarek zareagowali i stopniowo jeden po drugim zabrali się do zabezpieczania swoich produktów.

Kiedy w końcu w lipcu zareagowała Mozilla, już tylko Internet Explorer w aktualnej wersji (a także starszych wydaniach) jest podatny na ataki tego typu.

W zasadzie napastnicy mogą wykorzystywać tę lukę na wszystkich stronach, które pozwalają użytkownikom wpisywać własny tekst. W przykładzie z Twitterem wystarczy jeden komunikat z zawartością {}body{font-family:" – jeśli napastnik zaimportuje twitterowy kanał jako plik CSS, może za sprawą tolerancyjnego dla błędów składni przetwarzania w IE odczytać elementy kodu źródłowego jako właściwość font-family CSS-a. Wspólnie z trzema studentami z Carnegie Mellon University Evans opublikował szczegółowy dokument (PDF) o tak zwanych atakach Cross-Origin CSS.

Nie istnieje jeszcze rozwiązanie problemu.

Jako że atak z zasady nie wymaga zastosowania JavaScriptu, dla użytkowników Internet Explorera właściwie w tym momencie nie ma skutecznej ochrony.

wydanie internetowe www.heise-online.pl