Představte si, že vám webová stránka šmíruje adresní řádek v prohlížeči. Dokáže rozpoznat, co jste do něj napsali a s informací si pak naložit po svém. Třeba vás na daný web vůbec nemusí pustit a přesměruje vás jinam. Tak tohle umí Internet Explorer. O nově objevené chybě informuje Bleeping Computer.
Chcete se přesvědčit, že popisovaná chyba skutečně funguje? Můžete na webu www.cracking.com.ar/demos/ieaddressbarguess/, kde bezpečnostní expert Manuel Caballero připravil demo. Běžte na schránku, zadejte následně jinou adresu do adresního řádku prohlížeče a budete překvapeni. Tedy za předpokladu, že máte Internet Explorer.
Zranitelnost spočívá v konstrukci, kterou se ověřuje kompatibilita webové stránky s prohlížečem. Internet Explorer se dá ošálit skriptem umístěným v metadatech stránky tak, že prohlížeč poskytne nejen typ prohlížeče, ale i další data, včetně obsahu adresního řádku. Navíc je možné takový skript dostat na stránku i prostřednictvím vložených objektů, například externím reklamním systémem apod. Podrobný technický popis je zde.
Problém se týká výhradně Internete Exploreru, a to i v nejnovější verzi. Microsoft se k chybě staví celkem laksně a na mimořádnou aktualizaci to nevypadá. Pro Microsoft už je Internet Explorer druhořadým produktem a kdo chce bezpečí, má používat Edge. Jenže je nutné podotknout, že Internet Explorer má stále 17% podíl mezi prohlížeči, kdežto Edge jen 6%.
O prohlížečích dále ve videu:
