XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
06 фев 2015 11:00 #7770
от ICT
Компания Positive Technologies сообщила о ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в браузере жертвы в обход политики единства происхождения практически на любом сайте, говорится в заявлении Positive Technologies, поступившем в редакцию CNews. Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте ежедневной газеты Великобритании Daily Mail dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение Hacked by Deusen. Уязвимость присутствует в Internet Explorer 10.x и 11.x и, как поясняется на сайте securitylab.ru, существует из-за ошибки при обработке элементов iframe внутри DOM-модели. По словам экспертов Positive Technologies, в Сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы. Для защиты от потенциальных атак необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого веб-сервером. Для Apache настройка в .htaccess будет выглядеть так: Header always append X-Frame-Options SAMEORIGIN Для nginx — так: add_header X-Frame-Options SAMEORIGIN; для IIS — следующим образом: <system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> По информации Positive Technologies, при отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Россияне научились атаковать любые коммутаторы и роутеры Cisco | 17.05 | Пятница, 27 ноября 2015 |
Internet Explorer — всё | 15.4 | Четверг, 26 марта 2015 |
«Лаборатория Касперского» обнаружила в Windows уязвимость нулевого дня | 15.32 | Среда, 13 марта 2019 |
Internet Explorer умрет | 15.23 | Среда, 31 декабря 2014 |
Эксперт Positive Technologies выявил уязвимость нулевого дня в ОС Windows | 15.16 | Вторник, 16 мая 2017 |
«Лаборатория Касперского» обнаружила ПО, использующее уязвимость нулевого дня в Windows | 15.16 | Четверг, 11 октября 2018 |
Internet Explorer - конец эпохи | 15.06 | Среда, 18 марта 2015 |
Internet Explorer отправляется на покой | 15.06 | Четверг, 20 мая 2021 |
Trend Micro обнаружила критическую уязвимость нулевого дня в Adobe Flash | 15 | Среда, 04 февраля 2015 |
Eset: хакеры PowerPool используют в целевых атаках уязвимость нулевого дня | 15 | Понедельник, 10 сентября 2018 |