This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Internet Explorer의 취약성은 공격자가 사용자의 마우스 움직임을 추적 할 수 있습니다

Filed Under: Data loss, Featured, Internet Explorer, Microsoft, Privacy, Security threats, Vulnerability, Web Browsers

마우스 커서. Shutterstock에서 이미지 연구자들은 잠재적으로 당신의 창, 비활성 최소화하거나 산만 경우에도, 해커에게 마우스 커서의 움직임을 추적하는 방법을 제공 Internet Explorer에서 보안 구멍을 발견했습니다.

이 취약점은 키로거에 대한 방어로 사용되는 가상 키보드 및 virtal 키패드의 사용을 무력화시킵니다 점을 감안할 때 특히 꺼림칙한입니다.

이 취약점은 spider.io, 회사는 사용자가 실시간으로 인간 웹 사이트 방문자와 봇을 구별 할 수 있다고하는 호스트 플랫폼의 공급 업체에 의해 발견됐다.

여기 간단한 야 동영상 문제가 증명하고 있습니다 :

Spider.io가 첫째로 10 월 결함을 발견하고 IE 버전 6-10 영향을하는 회사를 알리는 마이크로 소프트에 공개했다.

Microsoft 보안 연구 센터는 결함을 인정하지만 기존 브라우저 버전에서 수선을 "즉각적인 계획"가 없다는 것을 spider.io을 말하고, 수정 뛰고되지 않습니다.

그럼 spider.io 화요일에 공개했다.

커서 결함은 공격자에게 자신이 펑키 소프트웨어를 설치 자제 경우에도 IE 사용자의 마우스 움직임에 대한 액세스를 제공합니다.

공격자는 단지 웹 사이트에 디스플레이 광고 슬롯을 구입하여 방문자의 마우스 움직임을 액세스 할 수 있으며, 해당 사이트는 단지 인터넷의 어두운 골목길 없으며, spider.io는 말합니다 :

"이것은 교양이 낮은 포르노와 파일 공유 사이트에 제한되지 않습니다. 오늘날의 광고 교류를 통해 YouTube에서 뉴욕 타임즈에 모든 사이트가 가능한 공격 벡터입니다."

사실, 취약점이 적극적으로에서 적어도 두 개의 디스플레이 광고 분석 회사 악용되고있다 "매월 웹 페이지 노출 수십억,"spider.io는 말합니다.

방문자가 "마우스 커서가 전체 화면에 걸쳐 추적 할 수 있습니다,"회사가 말하는 것은 주어진 IE 모두 배경 탭 또는 최소화에 밀어 경우에도 즉, 열려있는 유지의 페이지에갑니다.

이 취약점은 공격자에게 쉽게 keylogger를 설치 문제없이 비밀번호 나 신용 카드 정보를 납치 할 수있는 능력을 제공합니다.

spider.io가 말한대로 물론, 가상 키보드는 일반적으로 해커는 하드웨어 키보드 인터셉터 또는 키로거와 keypresses을 기록 할 수있는 기회를 줄이기 위해 사용됩니다.

이 이용하는 것이 얼마나 쉬운 설명하기 위해, spider.io 발견 할 수있는 게임으로 추적 버그를 설정하고 있습니다 여기 .

Spider.io에서 데모의 스크린 샷

나는 재생하는 방법에보고 할 수 있지만,에서 이상 리차드 Chirgwin 같은 등록 , 그건 IE 할 때는, 나는 절대 금 주자입니다. 나는 물건을 만지지 마십시오.

Spider.io이 게임들은 가상 키보드 및 마우스를 사용하여 12 신용 카드 번호, 전화 번호, 사용자 이름, 비밀번호, 이메일 주소를 입력 있다고 말한다.

도전은 해독 해당 마우스 추적하는 것입니다하고 최대한 빨리 입력 한 내용 재구성 - 그들은 방문자가 공격의 용이성에 걸쳐 얻을 것이다 보장하는 작업을.

지도자는 일 (목)부터 24 분 53초에 12 키보드 패턴을 복원 방문자했습니다.

취약점의 기술적 인 세부가 그들에 대해 아래 파이프해야 경우에도 마우스 이벤트에 관련된 속성을 전역 이벤트 객체를 채 웁니다 IE의 이벤트 모델과해야 spider.io는 말합니다.

fireEvent ()가 호출 메서드를 사용하여 수동으로 이벤트를 트리거 할 수있는 능력과 함께 그 chattiness는 관계없이 페이지가 또는 최소화 될 언제든지, 어디서든 화면의 커서 위치를 쿼리하는 모든 웹 사이트에서 또는 iframe에서 자바 스크립트를 허용 운영 중지되었습니다.

같은 fireEvent 방법도 제어, 변화와 alt 키의 상태를 제공합니다, spider.io는 말합니다.

우리는 곧 수정을 예상해야 하는가?

나는 마이크로 소프트에서 고민하는듯한 응답으로 볼 것을 가지고 몇 억 평가 절하 광고 클릭의 전망과 함께 섞어, 그 컵케익 상승 얼마나 빨리를 참조하십시오.

즉, 아마 아닐거야.


마우스 커서 Shutterstock에서 이미지입니다.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.