Microsoft в скором времени выпустит обновление, избавляющее Internet Explorer
8 от уязвимости, которая позволяет проводить серьезные атаки на сайты, при
других обстоятельствах являющиеся безопасными.
Нововведение, которое будет представлено в июне, станет третьей за полгода
доработкой функции браузера IE8, призванной отфильтровывать атаки с
использованием межсайтового скриптинга (XSS).
Так, в ноябре прошлого года стало известно о том, что этот фильтр можно
использовать для проведения XSS-атак на сайты, которые в остальных случаях не
являются уязвимыми. Компания Microsoft с тех пор дважды, в январе и марте,
вносила изменения в свой фильтр, однако на прошлой неделе в ходе конференции
Black Hat в Барселоне исследователи продемонстрировали, что он все еще дает
возможность проведения вредоносных инъекций в такие сайты, как Google, Wikipedia,
Twitter и даже в портал Bing, принадлежащий самой Microsoft.
"Проблема проявляется, когда вредоносный скрипт прорывается изнутри
конструкции, которая уже находится внутри существующего скриптового блока", -
поясняет специалист Microsoft Security Response Center Дэвид Росс. По его
словам, несмотря на то, что проблема была обнаружена и устранена патчем
MS10-002, выяснилось, что проведение атаки против популярных сайтов все еще
возможно, хотя и крайне затруднительно в реальном мире.
XSS-эксплоиты позволяют хакерам вставлять вредоносный код или контент в
доверенные веб-ресурсы, принуждая пользователей кликать по подложным ссылкам.
Поскольку такие ссылки содержат адреса хорошо известных сайтов, они обычно не
вызывают подозрений, что и подтвердил недавний случай с администраторами из
Apache Foundation, которые открыли вредоносные ссылки и выдали свои логины
нападавшим.
Избежать атак такого рода позволяет XSS-фильтр для Internet Explorer от
Microsoft или аналогичный по назначению плагин NoScript к браузеру Firefox.
