This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

IE漏洞允许攻击者跟踪你的鼠标移动

Filed Under: Data loss, Featured, Internet Explorer, Microsoft, Privacy, Security threats, Vulnerability, Web Browsers

鼠标光标。图片从ShutterStock研究人员已经发现了一种在Internet Explorer中的安全漏洞可能使黑客的方式跟踪你的鼠标光标的移动,即使你的窗口是无效的,最小化或失焦。

这个安全漏洞是特别令人担忧,因为它阻碍使用虚拟键盘和virtal的键盘,这是作为一个防御键盘记录器。

漏洞被发现,供应商的托管平台,该公司说,允许用户区分人的网站访问者和机器人实时spider.io。

下面是一个简短的视频证明的问题:

Spider.io 10月1日发现的缺陷,并透露给微软,通知公司,受影响的IE版本6-10。

微软安全研究中心承认的缺陷,但不跳进行了修正,告诉spider.io,它具有“并无即时计划”,在现有的浏览器版本中修补它。

所以spider.io上周二上市。

光标漏洞让攻击者访问IE用户的鼠标移动,即使他或她已放弃安装时髦的软件。

攻击者可以在任何网站上购买显示广告位,访问访问者的鼠标移动而这些网站不仅是互联网的黑暗的小巷,spider.io说:

“这不是仅限于低俗色情和文件共享网站。通过今天的广告交换,任何网站从YouTube到纽约时报”是一个可能的攻击媒介。“

事实上,该漏洞正在积极利用每月由至少两个显示广告分析公司在“数十亿网页的印象,”spider.io说。

为保持打开任何页面,即使游客把它的背景“选项卡或最小化IE干脆,”在整个显示器可以跟踪你的鼠标光标,说:“公司。

该漏洞使攻击者能够方便地抢夺,而无须再安装一个键盘记录密码或信用卡详细信息,。

当然,作为spider.io说,虚拟键盘通常被用于降低的机会,黑客与硬件键盘拦截器或键盘记录器可以记录按键。

为了证明它是多么容易被利用,spider.io已经变成了错误跟踪到游戏中,可以在这里找到。

从Spider.io的演示截图

我会报告它是如何发挥,但像理查德Chirgwin对在登记册 ,当它涉及到IE浏览器,我滴酒不沾。我从来没有接触到的东西。

Spider.io说,对于这场比赛,他们打出来的12个信用​​卡号码,电话号码,用户名,密码和电子邮件地址,使用虚拟键盘和鼠标。

目前的挑战是解密相应的鼠标轨迹和重建他们键入尽快的 - 一个任务,他们保证游客会遇到的难易程度的攻击。

的领军企业,截至周四,24分53秒的访客,重建了12个键盘模式。

该漏洞的技术细节,有做IE的事件模型,填充全球Event对象,其中有关鼠标事件的属性,甚至当它不应该管上下左右,spider.io说。

那繁琐,与手动调用fireEvent()方法触发事件的能力相结合,允许JavaScript在任何网站上,或在任何IFRAME查询光标在屏幕上的任何位置,在任何时候,不管在页面最小化或非活动状态。

那相同的的fireEvent方法也暴露了状态的控制,Shift和Alt键,spider.io说。

我们预计尽快修复?

采取我认为微软懒洋洋的响应,混合与数十亿贬值的广告点击次数的前景,并有多快蛋糕的上升。

换句话说,也许不是。


从Shutterstock的 鼠标光标图像。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.