Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk

de firma spider.io heeft een kwetsbaarheid in internet explorer 6 tot en met 10 geopenbaard waarmee alle bewegingen en invoer van de muiscursor gevolgd mee kunnen worden. microsoft zou zijn geïnformeerd maar het gat is nog niet gedicht, ondanks dat de exploit wordt gebruikt.

de kwetsbaarheid maakt het onder andere mogelijk om wachtwoorden af te vangen die via virtuele toetsenborden binnen internet explorer worden uitgevoerd. het maakt daarbij niet uit of de browser geminimaliseerd is of niet. de benodigde javascriptcode voor het uitlezen van het zogenaamde event-object, waarmee informatie over de muiscursor en -invoer kan worden uitgelezen, zou volgens de ontdekkers eenvoudig aan bijvoorbeeld een advertentie in een iframe geplaatst kunnen worden.

spider.io zegt dat zij op 1 oktober details over de kwetsbaarheid, die aanwezig is in internet explorer 6 tot en met 10, aan microsoft hebben doorgegeven. het microsoft security research center zou de bug hebben bevestigd, maar tevens hebben laten weten dat er geen concrete plannen zijn om de bug via patches op korte termijn te verhelpen. de firma heeft daarop besloten de exploitcode openbaar te maken.

volgens spider.io zouden zeker twee bedrijven die het surfgedrag van internetters op grote schaal in kaart brengen, de exploit al benutten. ook wijst het bedrijf op de risico's voor sites die virtuele keyboards inzetten. daarbij wordt geredeneerd dat de invoer op virtuele toetsenborden veiliger is omdat deze moeilijker zouden zijn uit te lezen via bijvoorbeeld keyloggers. onder andere enkele bankensites gebruiken om deze reden een virtueel keyboard. door deze ie-bug kan een kwaadwillende echter alsnog de invoer achterhalen.

bron: http://tweakers.net/nieuws/86080/kwetsbaarheid-in-internet-explorer-maakt-volgen-muiscursor-mogelijk.html">tweakers.net