Специалисты компании IMPERVA, специализирующейся на разработке программных продуктов для веб-приложений, обнаружили весьма неприятную и опасную уязвимость в браузере Internet Explorer.
Сообщается, что уязвимость связана с некорректной обработкой данным веб-обозревателем символа двойных кавычек ("), что позволяет злоумышленнику запустить на компьютере, использующем IE, вредоносный XSS-скрипт.
Технически, браузер Internet Explorer не обрабатывает двойные кавычки в части запроса URI (Uniform Resource Identifier), поэтому специально сгенерированные сайты, поддерживающие данный браузер, отправляют URI-запросы злоумышленника, которые IE пропускает, полагая, что они корректны, и встраивает их "как есть" в конечный HTML-код сайта. Таким образом, может быть серьезно повреждена структура сайта, а для хакера открывается возможность запустить XSS-атаку.
Самое опасное в данной ситуации то, что специалисты корпорацииMicrosoft осведомлены о проблеме, однако не считают ее уязвимостью своего продукта, поэтому в ближайшее время ждать патча не предвидится. Отметим, что подобной ситуации с двумя другими основными "конкурентами" IE (речь о Google Chrome и Mozilla Firefox) не наблюдается.
Ссылки по теме