Om du använder Microsoft Internet Explorer för tillfället, allt vad du skriver i adressfältet kan läcka till webbplatser.
Frågan beskrevs av säkerhet forskare Manuel Caballero på tisdagen på den Trasiga Webbläsare hemsida.
När ett skript som körs inuti ett objekt i html-taggen, den plats som objektet kommer att bli förvirrad och returnera den främsta platsen i stället för sin egen. För att vara exakt, så kommer det tillbaka den text som du skriver i adressfältet, så vad användaren skriver det kommer att vara tillgänglig genom att angriparen.
I grund och botten, vad det betyder är att webbplatser kan köra ett enkelt skript för att ta reda på vad användarna skriver i adressfältet i Internet Explorer medan användaren är på webbplatsen.
Du kan kolla in den här proof of concept sida för att ta reda på om din version av Internet Explorer, eller i själva verket någon annan webbläsare, påverkas av problemet.
Skriv helt enkelt vad som helst som kommer till ditt sinne i Internet explorers adressfält när du är på sidan, och tryck på Enter-tangenten efteråt. Webbsidan kommer att avlyssna belastning processen, exempelvis lastning av Bing-sökning om du inte skriver en adress, och visa frågan till dig på sidan som laddas.
Detta bekräftar att allt du skriver kan läcka till platsen om man genomför ett sådant manus. Information om hur forskaren snubblat på felet är inlagd på utlämnande inlägg.
Internet Explorer: s hantering av plats objekt när det injiceras “onbeforeunload” är bristfällig, eftersom det ger plats webbläsaren är gå till eller vad som för närvarande skrivs in i adressfältet.
Med andra ord, om vi hämta läge.href av objektet samtidigt som användaren lämnar den viktigaste sidan, vi kommer att kunna veta vad som skrevs i adress-bar, eller, om användaren klickade på en länk kommer vi att veta adressen till den länk som webbläsaren är igång.
Det är det! Nu kommer vi att hämta objektet läge när användaren lämnar och vet exakt vad hon skrivit i adressfältet. Det behöver inte vara en fullständig URL-adress, till exempel, om användaren skriver ord i adressfältet, det kommer automatiskt konverteras till en sökfråga URL (Bing som standard i IE) som kan givetvis vara helt läsa!
Här är en demo video som visar upp de säkerhetsproblem i Internet Explorer:
Läs också: en Första Titt: släck Ljuset för Microsoft Kanten
Jag testade detta i den senaste versionen av Internet Explorer på Windows-10, och det är som berörs av problemet.
Det finns ingen lösning just nu för att skydda det du skriver från att läcka ut i Internet Explorer. De två alternativ som du har är att antingen vara väldigt försiktiga när det kommer till att skriva in något i adressfältet, eller att använda en annan webbläsare tills Microsoft fixar problemet.