Hvis du bruker Microsoft Internet Explorer for tiden, alt hva du skriver inn i nettleserens adressefelt kan være lekket til nettsteder.
Saken ble avslørt av sikkerhet forsker Manuel Caballero på tirsdag på den Ødelagte Nettleser hjemmeside.
Når et skript kjøres inne i en object-html-tag, sted objektet vil bli forvirret og returnere det viktigste stedet i stedet for sin egen. For å være presis, vil den gå tilbake til teksten som skrives i adressefeltet, så uansett hva brukeren skriver det vil være tilgjengelig for angriperen.
I utgangspunktet, hva dette betyr er at nettsteder kan kjøre et enkelt skript for å finne ut hva brukerne skriver inn i Internet Explorer adresselinje mens brukeren er på stedet.
Du kan sjekke ut denne proof of concept siden for å finne ut om din versjon av Internet Explorer, eller faktisk noen annen nettleser, er berørt av problemet.
Bare skriv inn noe som kommer til hjernen din i Internet Explorer adresselinje mens du er på siden, og trykk på Enter-tasten etterpå. Web-siden vil avskjære legg i prosessen, f.eks. lasting av Bing-søk hvis du ikke skriver inn en adresse, og vise spørring til deg på siden som lastes.
Dette bekrefter at alt du skriver kan være lekket til nettstedet dersom det gjennomføres et slikt skript. Detaljer om hvordan forskeren snublet over feilen er lagt ut på utlevering av post.
Internett Explorer håndtering av plassering av objekter når injiseres “onbeforeunload” er feil, som det gir beliggenhet nettleseren er eller kommer til å hva er nå skrevet inn i adresselinjen.
Med andre ord, hvis vi hente beliggenhet.href av objektet mens brukeren forlater hovedsiden, vil vi være i stand til å vite hva som ble skrevet inn i adresse-bar, eller, hvis brukeren klikket på en kobling, vil vi vet adressen som koblingen at leseren kommer til.
Det er det! Nå vil vi hente objektet beliggenhet når brukeren forlater og vet nøyaktig hva hun har skrevet inn i adresselinjen. Det trenger ikke å være en fullstendig URL-adresse, for eksempel, hvis brukeren typer ord inn i adressefeltet, vil det automatisk bli konvertert til et søk URL (Bing som standard på IE) som kan selvfølgelig være helt lese!
Her er en demo video som viser et sikkerhetsproblem i Internet Explorer:
Les også: Zoom for Microsoft Kanten utvidelse
Jeg testet dette i den nyeste versjonen av Internet Explorer på Windows-10, og det er berørt av problemet.
Det er ingen løsning for akkurat nå for å beskytte det du skriver seg fra å være lekket ut i Internet Explorer. De to alternativene du har er å enten være veldig forsiktig når det gjelder å skrive inn noe i nettleserens adressefelt, eller å bruke en annen nettleser inntil Microsoft løser problemet.