Stilsettsårbarhet i Internet Explorer

En designfeil i Internet Explorer skal gjøre det mulig for ondsinnede å få tak i følsom informasjon ved hjelp av CSS.

Israelske Matan Gillon har oppdaget en ny sårbarhet i Internet Explorer. Han skriver på sitt nettsted at han var interessert i mulighetene for å utnytte Google Desktop for å hente ut personlige brukerdata, inkludert kredittkortinformasjon og passord, ved å bruke en ondsinnet webside. Takket være det han mener er an alvorlige designfeil i Internet Explorer, greide han i det skjulte å kjøre søk på besøkende av en nettsted ved å utnytte sårbarheten.

På nettstedet beskriver Gillon i detalj hva han har gjort, inkludert eksempelkode. Men denne fungerer ikke lenger på grunn av endringer Google senere har gjort på deres nettsted.

Normalt vil nettlesere ha strenge restriksjoner mot interaksjon på tvers av domener. En webside skal normalt ikke kunne lese innholdet til en mottatt side fra et annet domene, eller å manipulere siden DOM-objekter. Dette for at eieren av ett nettsted ikke skal kunne bruke JavaScript til å få tak i innhold på websider fra andre nettsteder som brukeren besøker. Dette kalles for Cross Site Scripting.

Ifølge Gillon holder ikke restriksjonene i Internet Explorer mål når det gjelder CSS-importer, som kan gjøres ved hjelp av "@import"-direktivet eller ved hjelp av JavaScript-instruksjonen "addImport" som IE støtter. Ifølge Gillon tillater IE import av filer som ikke kun består av gyldig CSS.

Les mer om sårbarheten på denne siden.

Ifølge News.com har Microsoft bekreftet at sårbarheten eksisterer og at selskapet nå vurderer hva som kan gjøres.

Til toppen