Cea mai serioasa vulnerablitate ofera raufacatorilor posibilitatea de a sustrage fisierele cookie de logare la banci online si alte site-uri de incredere sau sa execute instructiuni de cod pe calculatoarele victimelor. Cele patru vulnerabilitati - doua in IE si doua in Firefox, au fost publicate la adresa:
lists.grok.org.uk/pipermail/full-disclosure/2007-June/063712.html
Vulnerabilitatea privind fisierele cookie IE, considerata critica, tine de actualizarea paginilor in browser. Pe o perioada foarte scurta, in timp ce IE navigheaza de pe un site web folosit in derularea de operatiuni sensibile catre o alta pagina, un atacator ar putea executa cod javascript care apartineau paginii anterioare folosind continut din noul site incarcat. Astfel apar o multime de posibilitati, printre care citirea sau modificarea de fisiere cookie controlate de site-ul de incredere, schimbarea locatiilor URL unde se completeaza casete "form" cu credentiale, injectarea de cod sau blocarea cu eroare a browserului.
"Cu alte cuvinte, intregul model de securitate al browserului se prabuseste ca un castel de carti si va face vulnerabili unei multitudini de atacuri", scrie dl. Zalewski pe o pagina ( lcamtuf.coredump.cx/ierace/ ) in care demonstreaza vulnerabilitatea. "De asemenea, compromiterea sistemului nu este exclusa."
O a doua vulnerabilitate IE afecteaza versiunea 6 si permite imitarea unui site arbitrar, posibil si a celor care transmit date prin canale SSL protejate. Vulnerabilitatea, catalogata de dl. Zalewski ca "medie", nu afecteaza IE 7 din cauza imbunatatirilor care au fost aduse browserului. Un purtator de cuvant al Microsoft a anuntat ca in prezent cercetatorii de securitate ai companiei analizeaza cele doua vulnerabilitati raportate
In lipsa unui acord scris din partea Internet Corp, puteti prelua maxim 500 de caractere din acest articol daca precizati sursa si daca inserati vizibil linkul articolului Vulnerabilitatile infloresc in IE si Firefox.