Компания IMPERVA предупреждает интернет-пользователей об обнаруженной в браузере от Microsoft уязвимости межсайтового скриптинга (XSS). Специалисты сообщают, что эта уязвимость возникла из-за того, что веб-обозреватель IE некорректно обрабатывает символ двойных кавычек. Браузер не обрабатывает этот символ в части запроса URI, в результате чего сайты могут счесть легитимным специально сформированный URI и выполнить код, прикрепленный в идентификаторе. Эту схему могут использовать злоумышленники для того, чтобы повредить структуру веб-страницы и произвести XSS-нападение.
По стандарту RFC 3986, определяющему URI синтаксис, символы вроде двойных кавычек должны быть «pct-закодированы». Этого правила придерживаются разработчики разных веб-обозревателей, к примеру, Firefox и Chrome.
Проблема в IE заключается в том, что браузер обрабатывает дополнительные символы типа кавычек лишь в части пути URI, а передаваемые параметры при этом не затрагивает, в то время как другие веб-обозреватели преобразуют двойные кавычки в том числе и для передаваемых параметров.
Специалисты IMPERVA отмечают, что многие интернет-ресурсы не фильтруют данные, получаемые в качестве параметров, благодаря чему злоумышленники при помощи специально сформированной ссылки могут организовать отраженную XSS-атаку.
Исследователи из IMPERVA сообщили об обнаруженной проблеме представителям Microsoft, но IT-компания не считает эту брешь в IE уязвимостью. Представитель Microsoft заявил, что компании известно об этой функции, и она будет изменена в будущих версиях web-браузера, однако Microsoft не рассматривает ее как уязвимость, которую следует описывать в уведомлении безопасности.
На ресурсе XSSed.com приводится описание множества XSS-уязвимостей, которые распространяются только на пользователей браузера от Microsoft из-за выявленной специалистами IMPERVA бреши.
Comments are closed.