Falha no Internet Explorer pode revelar seus hábitos de navegação

Surpreendentemente (mentira), uma nova vulnerabilidade foi descoberta no Internet Explorer. Desta vez, a execução de um código HTML malicioso permite gravar inadvertidamente os hábitos de navegação do usuário.

De acordo com a publicação de Michael Caballero, especialista em segurança web, a falha ocorre quando a página é carregada com a maliciosa tag object em combinação com a tag do modo de compatibilidade.

Tags, de maneira resumida, são rótulos usados para informar ao navegador como o site deve ser exibido.

O código malicioso pode ser injetado através de sites ou anúncios que permitem adicionar códigos HTML ou JavaScript.  Ao executar o código, a tag maliciosa irá capturar inadvertidamente a informação disponível apenas na janela principal do navegador. Isso permitirá que os atacantes e outras partes interessadas roubem os dados do usuário, que podem ser usados para outras atividades maliciosas ou para fins publicitários.

Para provar a existência desta vulnerabilidade, Michael Caballero disponibilizou uma página para testes. Obviamente, o código só funcionará no Internet Explorer.

O navegador já foi descontinuado pela Microsoft em favor do Edge, porém, este está disponível apenas no Windows 10. Portanto, ainda há uma grande utilização do navegador, principalmente quando se trata das outras versões do Windows.

“Na minha opinião, a Microsoft está tentando se livrar do IE sem dizer isso. Seria mais fácil, mais honesto, simplesmente dizer aos usuários que seu navegador antigo não está sendo administrado como Edge”. O especialista completou dizendo que acredita “firmemente que o IE deve ser tratado como Edge em termos de segurança, caso contrário, a Microsoft deve se livrar dele completamente”.

Quando em produção, a recomendação era de que os usuários optassem por outros navegadores ao invés do Internet Explorer. Uma vez que foi descontinuado, deve-se evitar à todo custo.

Fonte: Broken Brownser via Neowin

Compartilhe
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •