Уязвимость в Internet Explorer позволяет хакерам читать поисковые запросы пользователей

Она позволяет не только отслеживать тематику поисковых запросов, но и видеть полностью весь текст, который человек вводит в строке поиска.

Обнаружить такую уязвимость в браузере удалось исследователю по информационной безопасности Мануэлю Кабальеро. Он заметил, что эта проблема затрагивает не только поисковые запросы, которые автоматически отрабатываются в поисковике Bing, но и адреса сайтов, которые вводятся пользователем в браузере впервые. По информации специалиста, эта информация может использоваться для совершения тергетированных атак или же сбора конфиденциальной информации о пользователе.

Для эксплуатации этой уязвимости хакерам необходимо использовать одно из двух условий. Первое заключается в добавлении на страницу вредоносного HTML-тэга object. Второе — в добавлении в исходный код метатега compatibility. Оба эти условия встречаются довольно часто, поэтому хакерам не составит труда обнаружить их.

Чтобы скрыть вредоносные теги, злоумышленники могут использовать зараженные сайты или же рекламные баннеры, которые предоставляют хакерам очень широкие возможности.

Что касается метатегаX-UA-Compatible, то с его помощью веб-разработчики выбирают режим совместимости с версией браузера Internet Explorer. У большинства сайтов в Интернете имеется этот метатег.

Как пояснил исследователь, если соблюдаются вышеописанные условия, то злоумышленники легко могут спровоцировать ошибку, с помощью которой HTML-тег получает доступ к информации, отображаемой в основном окне браузера. Именно это позволяет злоумышленникам читать, что именно пользователь вводит в адресную строку.

В подтверждение своих слов, эксперт создал специальную демо-страницу, которую использовал для демонстрации совершенной атаки и эксплуатации обнаруженной уязвимости.