Az Internet Explorer 11 böngészőben egy olyan sebezhetőség található, melyet Windows 7 és 8.1 alatt is ki lehet használni bejelentkezési adatok megszerzésére, illetve a böngészőmenetekbe történő kódinjektálásra – közölték a cégnél, ahol azt is bejelentették, hogy már dolgoznak a hiba javításán.

A sérülékenység egy általános cross-site scripting, azaz XSS-hiba, amelyet a támadó arra használhat fel, hogy áthágja azt az alapvető tiltást (same-origin policy), mely szerint egy adott oldal nem férhet hozzá, nem módosíthatja egy másik oldal sütijeit vagy egyéb tartalmait.

A napokban demonstrációként a Deusen nevű csoport elkészített egy mintatámadást (proof-of-concept exploit), ahol a Daily Mail weboldalába sikerült a „Hacked by Deusen” szavakat injektálni. De természetesen a másik módszer is működik: a sütik segítségével az adott oldalt meglátogatók azonosítóját és jelszavát is el lehet lopni.

A Microsoft szóvivője közölte, hogy egyelőre nem tudnak arról, hogy a hibát rossz szándékúak kihasználták volna, és már dolgoznak a javításon. Arra is felhívták a figyelmet, hogy az eredményes támadáshoz a felhasználót először egy adathalász oldalra kell csábítani. Ezek elkerülését segítheti az újabb böngészőváltozatokban már alapértelmezetten bekapcsolt SmartScreen szűrő, de emellett elengedhetetlen a felhasználói óvatosság is az ismeretlen linkek és weboldalak esetében.