This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Internet Explorer ошибка позволяет злоумышленникам отслеживать ваши движения мыши

Filed Under: Data loss, Featured, Internet Explorer, Microsoft, Privacy, Security threats, Vulnerability, Web Browsers

Курсор мыши. Изображение из Shutterstock Исследователи обнаружили уязвимость в Internet Explorer, потенциально предоставляя хакерам способ отслеживания движения курсора мыши, даже если ваше окно не активно, минимизировать или вне фокуса.

Эта уязвимость вызывает особую тревогу, учитывая, что оно подрывает использование виртуальной клавиатуры и virtal клавиатурами, которые используются в качестве защиты от клавиатурных шпионов.

Уязвимость была обнаружена spider.io, поставщика платформы, которая состоялась говорится в сообщении компании позволяют пользователям различать человеческие посетителей сайта и ботов в режиме реального времени.

Вот краткое видео , где данный вопрос показал:

Spider.io обнаружен недостаток 1 октября и раскрывается его Microsoft, сообщив, что компания IE версий 6-10 страдают.

Microsoft Security Research Center признан дефект, но не прыгать на исправление, говорит spider.io, что он имеет "нет планов", чтобы исправить это в существующих версиях браузера.

Так spider.io огласку во вторник.

Курсор недостаток дает злоумышленникам доступ к мыши пользователя, т.е. движений, даже если он или она воздержалась от установки фанк программного обеспечения.

Злоумышленники могут получить доступ к движениям посетителей мышь просто покупка слот медийных объявлений на любом сайте, и эти сайты не только темные переулки в Интернете, spider.io говорит:

"Это не ограничивается порно быдло и файлообменные сайты. Через объявление сегодняшний биржи, любой сайт с YouTube в Нью-Йорк Таймс возможный вектор атаки».

В самом деле, уязвимость активно эксплуатируется по меньшей мере два медийных объявлений аналитики компании через "миллиарды веб-страницы впечатлений каждый месяц", spider.io говорит.

Это относится к любой странице, который остается открытым, даже если посетитель толкает его в фоновой вкладке или минимизирует IE в целом, учитывая, что "курсор мыши можно проследить во всей дисплей", говорит компания.

Уязвимость позволяет злоумышленникам возможность легко похитить пароли и данные кредитной карты, все без проблем с установкой кейлоггер.

Конечно, как spider.io говорит, виртуальные клавиатуры обычно используются, чтобы уменьшить вероятность того, что хакер может записывать нажатия клавиш с аппаратной клавиатурой перехватчиков и клавиатурных шпионов.

Для того чтобы продемонстрировать, как легко эксплуатировать, spider.io превратился отслеживания ошибка в игре, которую можно найти здесь .

Скриншоты из демо Spider.io

Я бы сообщать о том, как он играет, но, как Ричард Chirgwin по меньшей The Register , когда дело доходит до IE, я трезвенник. Я никогда не прикасаться к вещи.

Spider.io говорит, что для игры, они набрали из 12 номеров кредитных карт, номера телефонов, имена пользователей, пароли и адреса электронной почты, используя виртуальную клавиатуру и мышь.

Задача состоит в том, чтобы расшифровать соответствующие следы мыши и реконструировать то, что они набрали как можно быстрее - задача, которую они уверяют посетители получат по простоте подвиг.

Лидером, как и в четверг, был посетитель, который реконструировали 12 паттернов клавиатуру в 24 минут 53 секунд.

Технические подробности уязвимости имеют отношение к модели событий IE, который заполняет глобальный объект события с атрибутами, связанных с событиями мыши, даже когда она должна трубе вниз о них, spider.io говорит.

Именно болтливость, в сочетании с возможностью запуска событий вручную с помощью метода, называемого FireEvent (), позволяет наличие на любом сайте или в любом IFrame для запроса курсора в любом месте экрана, в любое время, независимо от того, страница, которую сведены к минимуму или неактивным.

Тот же метод FireEvent также предоставляет статус управления, сдвиг и альт ключи, spider.io говорит.

Должны ли мы ожидать исправления в ближайшее время?

Возьмите то, что я рассматриваю как вялый ответ от Microsoft, смешать его с перспективой на несколько миллиардов девальвирован клики по объявлениям, и посмотреть, как быстро, что кекс поднимается.

Иными словами, вероятно, нет.


Курсор мыши изображение от Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.