This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

إنترنت إكسبلورر تسمح للمهاجمين للعيب تتبع حركات الماوس الخاص بك

Filed Under: Data loss, Featured, Internet Explorer, Microsoft, Privacy, Security threats, Vulnerability, Web Browsers

الماوس المؤشر. صورة من Shutterstock وقد وجد الباحثون ثغرة أمنية في إنترنت إكسبلورر، مما قد يعطي المتسللين وسيلة لتتبع تحركات مؤشر الماوس الخاص بك، حتى لو كان لديك نافذة غير نشطة، أو التقليل غير مركزة.

ضعف مثار قلق خاص نظرا لأنه يحبط استخدام لوحات المفاتيح لوحات المفاتيح الافتراضية وvirtal، والتي تستخدم كوسيلة للدفاع ضد كيلوغرز.

تم اكتشاف الضعف spider.io، ببائع منصة استضافت أن تقول الشركة يتيح للمستخدمين للتمييز بين زوار الموقع البشرية والسير في الوقت الحقيقي.

وهنا موجز الفيديو حيث أثبتت هذه المسألة:

اكتشف Spider.io الخلل في أكتوبر 1st و الإفصاح عنها لمايكروسوفت، الشركة التي يبلغ فيها تتأثر الإصدارات IE 6-10.

واعترف مايكروسوفت مركز أبحاث الأمن الخلل ولكن لم يتم القفز على الإصلاح، وقال spider.io أن لديها "أي خطط فورية" لتصحيح ذلك في الإصدارات متصفح القائمة.

حتى ذهب spider.io العامة يوم الثلاثاء.

الخلل المؤشر يعطي المهاجمين الوصول إلى حركات الماوس مستخدم IE حتى اذا كان قد امتنع عن تثبيت البرامج غير تقليدي.

يمكن الوصول إلى المهاجمين حركات الماوس الزوار فقط عن طريق شراء فتحة الإعلانات المصورة على أي موقع، وهذه المواقع ليست مجرد أزقة مظلمة للإنترنت، spider.io يقول:

"لا يقتصر هذا على الاباحية ومواقع تافهة وتبادل الملفات. من خلال التبادلات الإعلانية اليوم، أي موقع من يوتيوب لصحيفة نيويورك تايمز هي ناقلات هجوم محتمل."

في الواقع، هو ضعف بنشاط يجري استغلالها من قبل اثنين على الأقل من عرض الإعلان تحليلات الشركات عبر "مليارات الانطباعات صفحة الويب كل شهر،" يقول spider.io.

هذا ينطبق على أي صفحة يبقى مفتوحا، حتى لو كان الزائر يدفع إلى علامة تبويب الخلفية أو يقلل من IE تماما، بالنظر إلى أن "يمكن تتبع مؤشر الماوس الخاص بك عبر شاشة العرض كله"، ويقول للشركة.

ضعف المهاجمين يعطي القدرة على انتزاع بسهولة كلمات السر أو تفاصيل بطاقة الائتمان، كل ذلك من دون عناء تثبيت كلوغر.

بطبيعة الحال، كما يقول spider.io، وعادة ما تستخدم لوحات المفاتيح الافتراضية لتقليل فرصة أن القراصنة يمكن أن تسجل لوحة المفاتيح الضغط على المفاتيح مع الأجهزة اعتراضية أو كيلوغرز.

من أجل إظهار كم هو سهل لاستغلال، تحولت spider.io علة تتبع إلى لعبة، والتي يمكن العثور عليها هنا .

لقطة من العرض التوضيحي من Spider.io

وأود أن يقدم تقريرا عن الكيفية التي يلعب، ولكن مثل ريتشارد Chirgwin في أكثر من السجل ، عندما يتعلق الأمر لشركة آي إي، أنا الممتنع عن المكسرات. أنا لم تلمس الاشياء.

Spider.io يقول ان لعبة، وأنها كتبت من 12 رقم بطاقة الائتمان، وأرقام الهاتف، وأسماء المستخدمين وكلمات السر وعناوين البريد الإلكتروني باستخدام لوحة المفاتيح الافتراضية والفأرة.

ويتمثل التحدي في فك الماوس آثار المقابلة وإعادة بناء ما كتبته في أسرع وقت ممكن - وهي مهمة يؤكدون الزوار سوف تحصل في جميع أنحاء سهولة استغلال.

الزعيم، اعتبارا من يوم الخميس، وكان الزائر الذي أعيد بناؤها أنماط لوحة المفاتيح 12 في 24 دقيقة 53 ثانية.

التفاصيل الفنية لضعف لها علاقة مع نموذج الحدث IE، الذي بملء كائن الحدث العالمي مع سمات المتعلقة أحداث الماوس، حتى عندما ينبغي أنابيب أسفل عنها، spider.io يقول.

أن الثرثرة، جنبا إلى جنب مع القدرة على تحريك الأحداث يدويا مع طريقة تسمى (موافقة)، يسمح جافا سكريبت في أي موقع إلكتروني أو في أي الإطار من الاستعلام عن موضع رأس المؤشر في أي مكان على الشاشة، في أي وقت، بغض النظر عن كونه تصغير الصفحة أو غير نشط.

هذه الطريقة يعرض نفسه fireEvent أيضا حالة مفاتيح التحكم، والتحول ALT، spider.io يقول.

ينبغي لنا أن نتوقع قريبا الإصلاح؟

اتخاذ ما عرض كرد اهن من مايكروسوفت، ومزجها مع احتمال بضعة مليارات من النقرات على الإعلانات تخفيض قيمة، ونرى كيف أن ارتفاع سريع كب كيك.

وبعبارة أخرى، ربما لا.


الماوس المؤشر صورة من Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.