Apakah Internet Explorer membocorkan informasi sensitif?

Anda menggunakan Internet Explorer? Jika Anda melakukannya, semoga Anda sudah menerapkan pembaruan dari Patch Selasa awal pekan ini. Namun, bahkan jika Anda melakukannya tampaknya browser Anda mungkin masih rentan terhadap masalah yang berpotensi serius.

Spider.io, perusahaan dalam bisnis membantu pelanggan membedakan antara pengunjung situs web manusia yang sebenarnya dan aktivitas bot otomatis, klaim telah menemukan cacat yang mempengaruhi Internet Explorer browser andalan saat ini dari Microsoft, versi 6 hingga 10. Kerentanan dilaporkan memungkinkan posisi kursor mouse untuk dilacak di mana pun itu di layar-bahkan jika IE diminimalkan.

Spider.io mengungkapkan kerentanan terhadap Microsoft pada 1 Oktober 2012, tetapi tidak dibahas dalam pembaruan keamanan terbaru untuk Internet Explorer. Spider.io menegaskan bahwa cacat tersebut sedang dieksploitasi secara aktif, dan mengklaim bahwa Microsoft Security Research Center (MSRC) telah mengakui kerentanan, tetapi tidak memiliki rencana segera untuk menambalnya.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari Windows Anda PC]

Sebuah bug di IE dapat membocorkan informasi yang berpotensi sensitif

Saya meminta Microsoft untuk posisinya mengenai dugaan kerentanan. Seorang juru bicara mengirimi saya tanggapan resmi ini: “Kami saat ini sedang menyelidiki masalah ini, tetapi hingga saat ini tidak ada laporan tentang eksploitasi aktif atau pelanggan yang telah terpengaruh secara negatif. Kami akan memberikan informasi tambahan saat tersedia dan akan mengambil tindakan yang tepat untuk melindungi pelanggan kami. ”

Jason Miller, manajer penelitian dan pengembangan untuk pertanyaan VMware apakah masalahnya adalah" bug "atau" fitur ". “Seseorang dapat mempertanyakan apakah ini merupakan kerentanan atau fitur yang diperkenalkan ke browser untuk membantu menetapkan metrik penggunaan. Terlepas dari itu, para peneliti telah membuktikan bahwa "masalah" ini dapat digunakan dengan jahat. "

Saya berbicara dengan Qualys CTO Wolfgang Kandek. Dia menyatakan keprihatinan atas implikasi seperti kerentanan mungkin untuk perbankan online. Banyak bank telah menerapkan keyboard virtual di layar untuk memasukkan kredensial akun sebagai sarana untuk menghindari serangan keylogger tradisional.

Andrew Storms, direktur operasi keamanan untuk nCircle, setuju. “Eksploitasi ini menjadikan mitigasi itu batal dan batal - ia memiliki efek logger kunci pada keyboard virtual. Penyerang berpotensi menangkap klik yang terhubung dengan kredensial perbankan menggunakan eksploit ini dan itu bukan kabar baik bagi 63 juta orang Amerika yang online bank. ”

Alex Horan, manajer produk senior di CORE Security, menambahkan bahwa situs yang dianggap" aman " mungkin tidak begitu aman. "Ini juga memperkuat bahwa hanya karena Anda mengunjungi YouTube atau New York Times tidak berarti semua konten di situs tersebut dimiliki atau dikelola oleh mereka-melayani iklan berbahaya di situs utama tepercaya adalah cara yang bagus untuk mengekspos serangan Anda ke volume besar pengguna. "

Horan menyarankan untuk meninggalkan IE hingga atau kecuali masalah ini ditambal oleh Microsoft.

Badai mengatakan," Jika kerentanan ini dikonfirmasi, ia memiliki potensi untuk memerlukan patch di luar band dan itu adalah sesuatu yang semua orang ingin hindari musim liburan ini. "