Исследователь безопасности разработал атаку, которая может способствовать
удаленной краже цифровых удостоверений, используемых для получения доступа к
аккаунтам на Facebook и других сайтах, путем эксплуатации уязвимости в браузере
Microsoft Internet Explorer.
Независимый исследователь Розарио Валотта продемонстрировал свою "cookiejacking"
атаку на прошлой неделе на конференции безопасности
Hack in the Box в
Амстердаме. Во время этой атаки используется уязвимость, которая присутствует во
всех существующих на сегодняшний день версиях IE. Происходит кража сеансовых
куки, которые Facebook и другие веб-сайты записывают когда пользователь вводит
корректный пароль и логин. Куки действуют как цифровое удостоверение, которое
позволяет пользователю получить доступ к конкретному аккаунту.
Proof of concept код нацелен на куки, принадлежащие Facebook, Twitter и
Google Mail, но Валотта отметил, что техника может быть использована
применительно почти к любому сайту и затронуть все версии Windows. "Ты можешь
украсть любые куки", - сообщил он. "Уязвима большая клиентская база (с любой
версией IE и Win)".
