Опасная уязвимость IE отслеживает движения вашей мыши [Обновлено]

1 октября 2012 года уязвимость в Internet Explorer (версии с 6 по 10) была представлена spider.io, и она показала эксплойт, который можно использовать для отслеживания движений указателя на экране. Этот эксплойт может быть использован теми, кто заинтересован в получении конфиденциальной информации, даже когда цель использует виртуальную клавиатуру.

Хотя проблема была представлена Центру исследований безопасности Microsoft, похоже, что они не заинтересованы в исправлении проблемы, и она остается нерешенной. Эта уязвимость особенно опасна для тех, кто использует виртуальные клавиатуры для ввода данных кредитных карт или номеров телефонов.

Как это может повлиять на пользователей IE?

Даже те, кто использует виртуальные клавиатуры с целью обойти любые кейлоггеры, не в безопасности, потому что эксплойт отслеживает движения и клики вашей мыши даже когда Internet Explorer минимизирован. Исследователи из spider.io создали демонстрационную страницу, которая показывает эксплойт в действии, а также есть видео, которое показывает, как легко узнать, на что кто-то нажимает на цифровой клавиатуре.

Отправитель эксплойта заявил, что он уведомил Microsoft о проблеме, и, судя по тому, что мы видим на их сайте, никаких действий предпринято не было:

Хотя Центр исследований безопасности Microsoft признал уязвимость в Internet Explorer, они также заявили, что в ближайшее время нет планов по исправлению этой уязвимости в существующих версиях браузера.

Более того, поскольку эксплойт может быть реализован на IE 6-10, существует множество потенциальных жертв, и им необходимо сообщить о проблеме. К счастью, там, где Microsoft отказывается действовать, другие делают это. Также на странице, описывающей проблему, spider.io уверяет пользователей, что есть компании, которые пытаются найти решение.

Курс, который Microsoft принимает по этому вопросу, по меньшей мере непрофессионален, но мы думаем, что они просто пытаются сохранить Internet Explorer как лучший браузер для загрузки других браузеров. Если это так, то они делают потрясающую работу! Отчет об ошибке, представленный Ником Джонсоном из spider.io, довольно обширен и подробно описывает уязвимость. Также он представил код для самого эксплойта:

Мы надеемся, что важность этой проблемы будет замечена большим числом людей и больше компаний по безопасности, и что скоро будет выпущен инструмент, который сделает IE безопасным для тех, кто не хочет переходить на хороший браузер.

Обновление: После шума вокруг уязвимости Microsoft наконец уступила давлению и теперь уточнила, что она расследует проблему. Они по-прежнему настаивают на том, что основная проблема больше связана с конкуренцией между аналитическими компаниями, чем с безопасностью или конфиденциальностью потребителей, но отчет spider.io рисует совершенно другую картину.