Als u met behulp van Microsoft Internet Explorer momenteel, alles wat u typt in de adresbalk van de browser kan worden gelekt naar sites.
Het probleem werd bekendgemaakt door security-onderzoeker Manuel Caballero op dinsdag op de Gebroken Browser website.
Wanneer een script wordt uitgevoerd binnen een object-html-tag, de locatie object in de war zijn, en de terugkeer van de belangrijkste locatie in plaats van zijn eigen. Om precies te zijn, het zal de terugkeer van de geschreven tekst in de adresbalk dus wat de gebruiker er zal toegankelijk zijn door de aanvaller.
In principe, wat dit betekent is dat sites kunnen uitvoeren van een eenvoudig script om uit te vinden wat gebruikers type in de adresbalk van Internet Explorer, terwijl de gebruiker op de site.
Je kunt dit ‘proof of concept’ pagina om te weten of uw versie van Internet Explorer, of in feite een andere browser, wordt getroffen door het probleem.
Gewoon alles wat in je opkomt in Internet Explorer adresbalk terwijl u op de pagina en druk op de Enter-toets achteraf. De webpagina zal het onderscheppen van de laad-proces, bijvoorbeeld het laden van Bing zoeken als je niet een adres typt, en de query weergeven op de pagina die wordt geladen.
Dit bevestigt dat alles wat u typt, kan worden gelekt naar de site als het implementeert een dergelijk script. Details over hoe de onderzoeker struikelde over de bug zijn geplaatst op de openbaarmaking post.
Internet Explorer bij de verwerking van de locatie van objecten wanneer de geïnjecteerde “onbeforeunload” is verkeerd, want het geeft de locatie van de browser gaat of wat is op dit moment geschreven in de adresbalk.
In andere woorden, als we het ophalen van de locatie.href van het object, terwijl de gebruiker is het verlaten van de belangrijkste pagina, we zullen in staat zijn om te weten wat er is getypt in de adresbalk, of, als de gebruiker klikt op een link, wij weten het adres van de link die de browser gaat.
Dat is het! Nu halen we het voorwerp plaats wanneer de gebruiker verlaten en weten precies wat ze in de adresbalk hebt getypt. Het hoeft niet te worden een volledige URL in, bijvoorbeeld, als de gebruiker typen woorden in de adresbalk, zal deze automatisch worden omgezet naar een search query URL (Bing standaard op IE) dat kan natuurlijk helemaal lezen!
Hier is een demo video die toont de kwetsbaarheid in Internet Explorer:
Lees ook: Microsoft Rand op Android en iOS?
Ik heb dit getest in de meest recente versie van Internet Explorer op Windows-10, en is beïnvloed door het probleem.
Er is geen manier om te beschermen wat voor u het type van gelekt wordt in Internet Explorer. De twee opties die je hebt zijn ofwel heel voorzichtig als het gaat om het invoeren van iets in de adresbalk van de browser of een andere browser te gebruiken tot Microsoft verhelpt het probleem.