IE漏洞允许攻击者跟踪你的鼠标移动

鼠标光标。图片从ShutterStock研究人员已经发现了一种在Internet Explorer中的安全漏洞可能使黑客的方式跟踪你的鼠标光标的移动,即使你的窗口是无效的,最小化或失焦。

这个安全漏洞是特别令人担忧,因为它阻碍使用虚拟键盘和virtal的键盘,这是作为一个防御键盘记录器。

漏洞被发现,供应商的托管平台,该公司说,允许用户区分人的网站访问者和机器人实时spider.io。

下面是一个简短的视频证明的问题:

Spider.io 10月1日发现的缺陷,并透露给微软,通知公司,受影响的IE版本6-10。

微软安全研究中心承认的缺陷,但不跳进行了修正,告诉spider.io,它具有“并无即时计划”,在现有的浏览器版本中修补它。

所以spider.io上周二上市。

光标漏洞让攻击者访问IE用户的鼠标移动,即使他或她已放弃安装时髦的软件。

攻击者可以在任何网站上购买显示广告位,访问访问者的鼠标移动而这些网站不仅是互联网的黑暗的小巷,spider.io说:

“这不是仅限于低俗色情和文件共享网站。通过今天的广告交换,任何网站从YouTube到纽约时报”是一个可能的攻击媒介。“

事实上,该漏洞正在积极利用每月由至少两个显示广告分析公司在“数十亿网页的印象,”spider.io说。

为保持打开任何页面,即使游客把它的背景“选项卡或最小化IE干脆,”在整个显示器可以跟踪你的鼠标光标,说:“公司。

该漏洞使攻击者能够方便地抢夺,而无须再安装一个键盘记录密码或信用卡详细信息,。

当然,作为spider.io说,虚拟键盘通常被用于降低的机会,黑客与硬件键盘拦截器或键盘记录器可以记录按键。

为了证明它是多么容易被利用,spider.io已经变成了错误跟踪到游戏中,可以在这里找到。

从Spider.io的演示截图

我会报告它是如何发挥,但像理查德Chirgwin对在登记册 ,当它涉及到IE浏览器,我滴酒不沾。我从来没有接触到的东西。

Spider.io说,对于这场比赛,他们打出来的12个信用​​卡号码,电话号码,用户名,密码和电子邮件地址,使用虚拟键盘和鼠标。

目前的挑战是解密相应的鼠标轨迹和重建他们键入尽快的 – 一个任务,他们保证游客会遇到的难易程度的攻击。

的领军企业,截至周四,24分53秒的访客,重建了12个键盘模式。

该漏洞的技术细节,有做IE的事件模型,填充全球Event对象,其中有关鼠标事件的属性,甚至当它不应该管上下左右,spider.io说。

那繁琐,与手动调用fireEvent()方法触发事件的能力相结合,允许JavaScript在任何网站上,或在任何IFRAME查询光标在屏幕上的任何位置,在任何时候,不管在页面最小化或非活动状态。

那相同的的fireEvent方法也暴露了状态的控制,Shift和Alt键,spider.io说。

我们预计尽快修复?

采取我认为微软懒洋洋的响应,混合与数十亿贬值的广告点击次数的前景,并有多快蛋糕的上升。

换句话说,也许不是。


从Shutterstock的 鼠标光标图像。