|
|
Германская компания E-matters сообщила об обнарушении дыры в браузере Internet Explorer версий 5.0, 5.5 и 6.0, качающейся реализации в этих программах протокола SSL, с помощью которого можно защитить информацию, курсирующую между веб-сайтом и его посетителем. Суть уязвимости заключается в том, что при помощи особым образом составленной веб-страницы пользователю можно подсунуть ворованный или просроченный SSL-сертификат. Такие сертификаты выпускаются и заверяются такими компаниями, как Verisign, и служат для того, чтобы подтвердить принадлежность сайта той или иной компании. В принципе, используя дыру в IE и фальшивый сертификат, злоумышленник может перехватывать любую информацию о пользователе, передаваемую через защищенный канал, в том числе номер кредитной карты. Пользователь при этом даже не будет подозревать, что передает данные не тому, кому надо. Для того, чтобы обмануть Internet Explorer, необходимо привязать ссылку на страницу, использующую SSL и нелегальный сертификат, к картинке или другому внедренному объекту, а затем перенаправить браузер по этой ссылке. Единственным условием, которое проверяет IE в этом случае является то, что сертификат подписан известной компанией вроде той же Verisign. Проверка, проведенная журналистами сайта Newsbytes, подтвердила информацию об уязвимости IE. Другие браузеры (Netscape 4.7 и 6.1, а также Opera 5.1) при обращении к странице выдавали предупреждение о возможном несоответствии сертификата и сайта, который его использует. Единственным способом определить это в IE является просмотр подробной информации о сертификате - в этом случае видно, что домен, на который выдан сертификат не соответствует адресу сайта. Однако, по словам сотрудника E-matters Стефана Эссера, выполнять такие проверки для всех страниц подряд без предварительного предупреждения о возможном подвохе будут только параноики. Источник: Журнал "Компьютерра" |
|