This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Internet Explorer permite que atacantes falha para acompanhar os movimentos do mouse

Filed Under: Data loss, Featured, Internet Explorer, Microsoft, Privacy, Security threats, Vulnerability, Web Browsers

Cursor do mouse. Imagem da Shutterstock Pesquisadores descobriram uma falha de segurança no Internet Explorer, potencialmente dando hackers uma maneira de controlar os seus movimentos do cursor do mouse, mesmo se sua janela está inativo, minimizado ou desfocado.

A vulnerabilidade é particularmente preocupante uma vez que impede o uso de teclados virtuais Virtual, e teclados, que são usados ​​como uma defesa contra keyloggers.

A vulnerabilidade foi descoberta por spider.io, vendedor de uma plataforma hospedada que a empresa diz que permite aos usuários distinguir entre os visitantes do site humanos e robôs em tempo real.

Aqui está um breve vídeo onde a questão é demonstrado:

Spider.io descobriu a falha em 01 de outubro e divulgado para a Microsoft, informando a empresa que versões do IE 6-10 são afetados.

Microsoft Security Research Center reconheceu a falha, mas não está saltando em uma correção, dizendo spider.io que "não tem planos imediatos" para consertar-lo em versões do navegador existentes.

Então spider.io veio a público na terça-feira.

A falha em cursor dá aos crackers acesso a movimentos de um usuário do IE mouse, mesmo se ele ou ela se absteve de instalar software funky.

Atacantes podem acessar movimentos dos visitantes do mouse apenas comprando um espaço de anúncio de exibição em qualquer site, e esses sites não são apenas os becos escuros da Internet, spider.io diz:

"Isso não se restringe à pornografia lowbrow e de compartilhamento de arquivos sites. Através de intercâmbios atuais anúncios, qualquer site do YouTube para o New York Times é um possível vetor de ataque."

Na verdade, a vulnerabilidade está sendo ativamente explorada por pelo menos duas análises de exibição de anúncios empresas em "bilhões de impressões página de cada mês", diz spider.io.

Isso vale para qualquer página que fica aberto, mesmo se um visitante a empurra para uma guia de fundo ou minimiza o IE por completo, uma vez que "o cursor do mouse pode ser rastreado através de sua tela inteira", diz a empresa.

A vulnerabilidade dá atacantes a capacidade de facilmente roubar senhas ou cartões de crédito, tudo isso sem o trabalho de instalar um keylogger.

Claro que, como diz spider.io, teclados virtuais são normalmente utilizados para reduzir a chance de que um hacker pode gravar teclas pressionadas com hardware teclado interceptores ou keyloggers.

A fim de demonstrar como é fácil de explorar, spider.io transformou o rastreamento de bugs em um jogo, que pode ser encontrado aqui .

Captura de tela do demo do Spider.io

Gostaria de informar sobre como ele joga, mas como Richard Chirgwin lá no The Register , quando vem para o IE, eu sou um abstêmio. Eu nunca toque o material.

Spider.io diz que para o jogo, que digitou 12 números de cartão de crédito, números de telefone, nomes de usuário, senhas e endereços de e-mail usando um teclado virtual e mouse.

O desafio é decifrar os traços do mouse correspondentes e reconstruir o que eles digitaram o mais rápido possível - uma tarefa que eles garantem os visitantes vão atravessar a facilidade da exploração.

O líder, a partir de quinta-feira, era um visitante que reconstruiu os 12 padrões de teclado em 24 minutos 53 segundos.

Os detalhes técnicos da vulnerabilidade tem a ver com o modelo do IE evento, que preenche o objeto evento global com atributos relacionados a eventos de mouse, mesmo quando deveria tubo para baixo sobre eles, spider.io diz.

Que falação, combinada com a capacidade de desencadear eventos manualmente com um método chamado fireEvent (), permite que o JavaScript em qualquer sítio ou em qualquer iFrame para consultar a posição do cursor em qualquer lugar da tela, a qualquer momento, independentemente da página a ser minimizada ou inactiva.

Esse método fireEvent mesmo também expõe o status de teclas Shift, controle e alt, spider.io diz.

Devemos antecipar uma correção em breve?

Pegue o que eu vejo como uma resposta indiferente da Microsoft, misturá-lo com a perspectiva de alguns bilhões de cliques em anúncios desvalorizadas, e ver o quão rápido o que sobe cupcake.

Em outras palavras, provavelmente não.


Cursor do mouse imagem do Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.