Ένας ερευνητής ασφάλειας από την Spider.io, ανακάλυψε ευπάθεια ασφάλειας
στις εκδόσεις του Internet Explorer 6 έως 10, η οποία θα μπορούσε να
επιτρέψει σε έναν επιτιθέμενο να παρακολουθεί τις κινήσεις του ποντικιού
του χρήστη, ακόμη και αν το παράθυρο του IE έχει ελαχιστοποιηθεί.Οι χρήστες χρησιμοποιούν συχνά εικονικό πληκτρολόγιο ενώ πληκτρολογούν τον κωδικό τους για να προστατεύουν τα δεδομένα τους από τυχόν εγκατεστημένους Keyloggers. Απ’ ότι φαίνεται όμως, το νέο bug στον IE καθιστά το εικονικό πληκτρολόγιο ανασφαλές.
Η χρήση της μεθόδου fireEvent () σε συνδυασμό με την...
χειροκίνητη δυνατότητα ενεργοποίησης των events, επιτρέπει στο JavaScript να προβάλλει τη θέση του κέρσορα του ποντικιού οπουδήποτε στην οθόνη ανά πάσα στιγμή και σε οποιαδήποτε ιστοσελίδα, ακόμη και όταν η καρτέλα δεν είναι ενεργή ή το παράθυρο του Internet Explorer έχει ελαχιστοποιηθεί. Επίσης, εκθέτει την κατάσταση των πλήκτρων ελέγχου, shift και alt.
Μέχρι και παιχνίδι έχει δημιουργηθεί (iedataleak.spider.io) προκειμένου να τονιστεί η ευκολία με την οποία μπορεί να υπάρξει εκμετάλλευση της ευπάθειας και να εκτεθεί σε κίνδυνο η ασφάλεια των εικονικών πληκτρολογίων.
http://www.secnews.gr