Internet Explorer perde informazioni sensibili?

Do usi Internet Explorer? Se lo fai, spero che tu abbia già applicato gli aggiornamenti da Patch martedì all'inizio di questa settimana. Ma, anche se lo facessi, sembra che il tuo browser sia ancora vulnerabile a un problema potenzialmente serio.

Spider.io, una società che si occupa di aiutare i clienti a distinguere tra visitatori effettivi di siti Web umani e attività bot automatizzata, afferma di aver scoperto un difetto che interessa Internet Explorer l'attuale browser di punta di Microsoft, versioni da 6 a 10. La vulnerabilità, a quanto si dice, consente di tenere traccia della posizione del cursore del mouse ovunque si trovi sullo schermo, anche se IE è ridotto a icona.

Spider.io ha rivelato vulnerabilità a Microsoft il 1 ° ottobre 2012, ma non è stato risolto nell'ultimo aggiornamento per la protezione di Internet Explorer. Spider.io afferma che il difetto viene sfruttato attivamente e afferma che il Microsoft Security Research Center (MSRC) ha riconosciuto la vulnerabilità, ma non ha un piano immediato per applicarlo.

[Ulteriori informazioni: Come rimuovere il malware da Windows PC]

Un bug in IE può perdere informazioni potenzialmente sensibili

Ho chiesto a Microsoft la sua posizione sulla presunta vulnerabilità. Un portavoce mi ha inviato questa risposta ufficiale: "Attualmente stiamo esaminando questo problema, ma ad oggi non ci sono segnalazioni di exploit attivi o clienti che sono stati influenzati negativamente. Forniremo ulteriori informazioni non appena disponibili e intraprenderemo le azioni appropriate per proteggere i nostri clienti. "

Jason Miller, responsabile della ricerca e sviluppo di VMware, si chiede se il problema sia un" bug "o una" funzionalità ". "Ci si potrebbe chiedere se si tratta di una vulnerabilità o di una funzionalità introdotta nel browser per aiutare a stabilire le metriche di utilizzo. Indipendentemente da ciò, i ricercatori hanno dimostrato che questo "problema" potrebbe essere usato maliziosamente. "

Ho parlato con Qualys CTO Wolfgang Kandek. Ha espresso preoccupazione per le implicazioni che una tale vulnerabilità potrebbe avere per l'online banking. Molte banche hanno implementato tastiere virtuali su schermo per inserire le credenziali dell'account come mezzo per evitare gli attacchi tradizionali di keylogger.

Andrew Storms, direttore delle operazioni di sicurezza per nCircle, è d'accordo. "Questo exploit rende la mitigazione nullo - ha l'effetto di un keylogger su tastiere virtuali. Gli hacker potrebbero potenzialmente catturare i clic connessi con le credenziali bancarie usando questo exploit e questa non è una buona notizia per i 63 milioni di americani che effettuano operazioni online. "

Alex Horan, senior product manager di CORE Security, aggiunge che i siti web apparentemente" sicuri " potrebbe non essere così sicuro "Inoltre rafforza il fatto che solo perché stai visitando YouTube o il New York Times non significa che tutti i contenuti di quel sito sono di loro proprietà o gestiti, pubblicare annunci dannosi su siti mainstream di fiducia è un ottimo modo per esporre il tuo attacco a un grande volume di utenti. "

Horan suggerisce di abbandonare IE fino a che oa meno che il problema non venga risolto da Microsoft.

Storms dice," Se questa vulnerabilità è confermata, potrebbe potenzialmente richiedere una patch fuori banda e questo è qualcosa che tutti vorrebbero evitare questa stagione natalizia. "