Wycieki danych przez lukę w Explorerze
Znana już od dawna luka w Internet Explorerze 8 pozwala napastnikom na wprowadzenie w błąd mechanizmu Same Origin Policy przez odwoływanie się do arkuszy CSS (Cascading Style Sheets) i wykradanie w ten sposób danych osobistych ofiary.
Chris Evans z zespołu bezpieczeństwa Google zademonstrował to na przykładzie exploita, który został stworzony z myślą o Twitterze, ale można go przenieść także na inne strony. Kiedy odwiedzający witrynę pokazową jest zarejestrowany w tym serwisie, strona ekstrahuje token uwierzytelniający z Twittera i może bez większych przeszkód wysyłać w imieniu użytkownika wiadomości.
Luka jest znana od dwóch lat i zdążyła się już pojawić prawie we wszystkich popularnych przeglądarkach. Wygląda jednak na to, że nikt nie zwrócił uwagi na poświęcony jej artykuł, który napisano w języku japońskim. Dopiero rok później, gdy Evans nagłośnił w blogu tę sprawę, producenci przeglądarek zareagowali i stopniowo jeden po drugim zabrali się do zabezpieczania swoich produktów. Kiedy w końcu w lipcu zareagowała Mozilla, już tylko Internet Explorer w aktualnej wersji (a także starszych wydaniach) jest podatny na ataki tego typu.
W zasadzie napastnicy mogą wykorzystywać tę lukę na wszystkich stronach, które pozwalają użytkownikom wpisywać własny tekst. W przykładzie z Twitterem wystarczy jeden komunikat z zawartością {}body{font-family:" - jeśli napastnik zaimportuje twitterowy kanał jako plik CSS, może za sprawą tolerancyjnego dla błędów składni przetwarzania w IE odczytać elementy kodu źródłowego jako właściwość font-family CSS-a. Wspólnie z trzema studentami z Carnegie Mellon University, Evans opublikował szczegółowy dokument o tak zwanych atakach Cross-Origin CSS.
Nie istnieje jeszcze rozwiązanie problemu. Jako że atak z zasady nie wymaga zastosowania JavaScriptu, dla użytkowników Internet Explorera właściwie w tym momencie nie ma skutecznej ochrony.
