Wenn Sie mit dem Internet Explorer von Microsoft derzeit alles, was Sie geben in die Adressleiste des Browsers kann zugespielt werden auf Websites.
Das Problem wurde weitergegeben, von der Sicherheitsforscher Manuel Caballero am Dienstag auf der Broken-Browser-website.
Wenn ein Skript ausgeführt wird, in einer object-html-tag, das location-Objekt wird verwirrt und der Rückkehr der Haupt-Standort, die anstelle der eigenen. Um genau zu sein, wird es wieder mit dem geschriebenen text in der Adressleiste, also alles was der Benutzer eingibt wird es zugänglich sein, indem der Angreifer.
Im Grunde, was es bedeutet, ist, dass Websites, die möglicherweise führen Sie ein einfaches Skript, um herauszufinden, was die Benutzer geben in die Adressleiste von Internet Explorer, während der Benutzer auf der Website.
Sie können sich diese proof-of-concept-Seite, um herauszufinden, ob Ihre version von Internet Explorer oder jedem anderen browser, ist von dem Problem betroffen.
Geben Sie einfach nichts in den Sinn kommt, in die Adressleiste von Internet Explorer, während Sie sich auf die Seite, und drücken Sie die Enter-Taste danach. Die web-Seite fängt der Ladevorgang, z.B. das laden der Bing-Suche, wenn Sie nicht geben Sie eine Adresse ein, und zeigen Sie die Abfrage, um Sie auf die Seite, es lädt.
Dies bestätigt, dass alles, was Sie geben können zugespielt werden auf der Website, wenn es implementiert ein solches Skript. Details, wie der Forscher stolperte über die Fehler gepostet werden, die auf die Offenlegung post.
Internet Explorer-der Umgang mit der Lage von Objekten, wenn Sie injiziert “onbeforeunload” ist falsch, da gibt es die Lage, die der browser oder das, was gegenwärtig geschrieben wird in der Adressleiste.
In anderen Worten, wenn wir den Speicherort abzurufen.href des Objekts, während der Benutzer das verlassen der Hauptseite, werden wir in der Lage sein zu wissen, was eingegeben wurde, in die Adresse-Leiste, oder, wenn der Benutzer auf einen link geklickt werden wir wissen, die Adresse des Links, der browser ist zu gehen.
Das ist es! Jetzt rufen wir die Position des Objekts, wenn der Benutzer verlassen und wissen genau, was Sie in die Adressleiste eingegebene. Es muss nicht eine vollständige URL sein, beispielsweise, wenn der Benutzer tippt die Wörter in die Adresszeile ein, wird es automatisch umgewandelt werden in ein search query-URL (Bing standardmäßig auf IE), die kann natürlich auch komplett Lesen!
Hier ist ein demo video, welches die Sicherheitslücke in Internet Explorer:
Lesen Sie auch: Microsoft Rand auf Android und iOS?
Getestet habe ich diese in der neuesten version von Internet Explorer auf Windows 10, und es ist von dem Problem betroffen.
Es gibt keine Möglichkeit, jetzt das zu schützen, was Sie geben aus durchgesickert im Internet Explorer. Die zwei Optionen, die Sie haben sind entweder sehr vorsichtig sein, wenn es um die Eingabe etwas in die Adressleiste des Browsers ein, oder verwenden Sie einen anderen browser, bis Microsoft das Problem behebt.