|
Veliki sigurnosni propust web preglednika Internet Explorer 8 |
|
Posljednja inačica web preglednika tvrtke Microsoft, Internet Explorer 8, sadrži ranjivost koja može omogućiti napade na inače sigurne web stranice.
Nedostatak postoji u zaštiti koju su programeri tvrtke Microsoft razvili kao zaštitu od XSS (eng. cross-site scripting) napada. Spomenuta funkcionalnost koristi tehniku zvanu „izlazno kodiranje“ (eng. output encoding) koja sumnjive znakove i vrijednosti mijenja sigurnijima. Nije poznato kako zaštita može uzrokovati ranjivosti, ali navedeno je kako napadač može iskoristiti ovaj problem za izvođenje XSS napada na sigurnoj web stranici. Za uspješno izvođenje napada, napadač mora otkriti ranjivost u provođenju izlaznog kodiranja te stvoriti posebno oblikovani niz. Također, XSS zaštita može izazvati druge neželjene rezultate jer potpuno prihvatljive znakove označava kao potencijalno ranjive. Kada je tvrtka Microsoft uvela zaštitu, ugradila je opciju njenog onemogućavanja (dodavanjem zaglavlja „X-XSS-Protection: 0“), ali vrlo mali broj stranica koristi navedenu opiju za blokiranje. Sigurnosni stručnjaci još istražuju tvrdnje o postojanju ranjivosti, a za više informacija preporuča se pogledati originalnu vijest dostupnu na stranicama TheRegistar portala. |
