ВС:Бухгалтерия 6.3 Печенье с предсказаниями fortune-cookies ru п... (от Печенье с предсказаниями)
Пользователи IE под угрозой
IE не обрабатывает символы двойной кавычки в части запроса Uniform Resource Identifier (URI). Web-сайты могут посчитать специально сформированный URI легитимным и выполнить прикрепленный в идентификаторе HTML код. Данная схема может позволить злоумышленнику повредить структуру страницы и осуществить XSS нападение.
Согласно интернет стандарту RFC 3986, который определяет URI синтаксис, такие символы как двойные кавычки, должны быть «pct-закодированными», и этой политики придерживаются разработчики различных браузеров, например, Chrome и Firefox.
IE обрабатывает специальные символы только в части пути URI, не затрагивая при этом передаваемые параметры. Например, адрес http://example.com/tes"t.php?q"="b" после обработки IE будет выглядеть таким образом: GET /tes%22t.php?q"="b". В то время как другие браузеры осуществляют преобразование двойной кавычки также для передаваемых параметров.
По мнению специалистов IMPERVA, большое количество сайтов не осуществляют фильтрацию данных, получаемых в качестве параметров, что может позволить злоумышленнику осуществить отраженную XSS атаку с помощью специально сформированной ссылки.
Исследователи IMPERVA связались с представителями Microsoft, но софтверный гигант не считает данную брешь уязвимостью. «Нам известно об описанной вами функции и мы планируем изменить ее в будущих версиях, однако она не рассматривается нами, как уязвимость, которая будет описана в уведомлении безопасности», — ответил представитель Microsoft на сообщение Imperva.
На web-сайте XSSed.com описано большое количество уязвимостей межсайтового скриптинга, которые распространяются только на пользователей IE из-за описанной выше бреши.
Оставьте Ваш комментарий или мнение о новости: Пользователи IE под угрозой Просим Вас оставлять сообщения по теме и уважать своих собеседников и авторов новостного сообщения.
.gif){kind=small}
.gif){kind=small}
