Gibt der Internet Explorer vertrauliche Informationen aus?

Do Sie verwenden den Internet Explorer? Wenn Sie dies tun, haben Sie hoffentlich bereits die Updates vom Patch-Dienstag Anfang dieser Woche übernommen. Aber selbst wenn Sie es getan haben, scheint Ihr Browser noch anfällig für ein potentiell ernstes Problem zu sein.

Spider.io, ein Unternehmen, das Kunden dabei unterstützt, zwischen tatsächlichen menschlichen Website-Besuchern und automatisierten Bot-Aktivitäten zu unterscheiden, behauptet, entdeckt zu haben ein Fehler, der Internet Explorer den aktuellen Flaggschiff-Browser von Microsoft, Versionen 6 bis 10, betrifft. Die Sicherheitslücke ermöglicht Berichten zufolge, dass die Mauszeigerposition überall auf dem Bildschirm verfolgt wird - auch wenn IE minimiert ist.

Spider.io hat den Microsoft-Sicherheitsanfälligkeit vom 1. Oktober 2012, jedoch nicht im neuesten Sicherheitsupdate für Internet Explorer behoben. Spider.io behauptet, dass der Fehler aktiv ausgenutzt wird, und behauptet, dass das Microsoft Security Research Center (MSRC) die Sicherheitslücke erkannt hat, aber keinen sofortigen Patch-Plan hat.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Ein Fehler im IE kann potentiell vertrauliche Informationen verlieren

Ich habe Microsoft nach seiner Position zu der angeblichen Sicherheitslücke gefragt. Ein Sprecher hat mir diese offizielle Antwort geschickt: "Wir untersuchen derzeit dieses Problem, aber es gibt bisher keine Berichte über aktive Exploits oder Kunden, die beeinträchtigt wurden. Wir werden zusätzliche Informationen zur Verfügung stellen, sobald sie verfügbar sind, und werden geeignete Maßnahmen ergreifen, um unsere Kunden zu schützen. "

Jason Miller, Manager für Forschung und Entwicklung für VMware, stellt in Frage, ob das Problem ein" Fehler "oder ein" Feature "ist. "Man könnte in Frage stellen, ob dies eine Schwachstelle oder ein Feature ist, das in den Browser eingeführt wird, um Messdaten zur Nutzung zu erstellen. Ungeachtet dessen haben die Forscher bewiesen, dass dieses "Problem" böswillig verwendet werden konnte. "

Ich habe mit Qualys-CTO Wolfgang Kandek gesprochen. Er äußerte sich besorgt über die Auswirkungen einer solchen Schwachstelle auf das Online-Banking. Viele Banken haben virtuelle Bildschirmtastaturen zur Eingabe von Zugangsdaten implementiert, um traditionelle Keylogger-Attacken zu vermeiden.

Andrew Storms, Leiter der Sicherheitsabteilung bei nCircle, stimmt zu. "Durch diesen Exploit wird die Mitigation null und nichtig - sie wirkt wie ein Keylogger auf virtuellen Tastaturen. Angreifer könnten mit diesem Exploit möglicherweise die Klicks erfassen, die mit Bankdaten verbunden sind, und das sind keine guten Nachrichten für die 63 Millionen Amerikaner, die Online-Banking betreiben. "

Alex Horan, Senior Product Manager bei CORE Security, fügt diese angeblich" sicheren "Websites hinzu möglicherweise nicht so sicher. "Es bestätigt auch, dass, nur weil du YouTube oder die New York Times besuchst, nicht bedeutet, dass alle Inhalte auf dieser Website ihnen gehören oder von ihnen verwaltet werden. Das Bereitstellen von bösartigen Anzeigen auf vertrauenswürdigen Mainstream-Websites ist eine großartige Möglichkeit, deinen Angriff anzuzeigen eine große Menge an Benutzern. "

Horan schlägt vor, den IE zu verlassen, bis das Problem von Microsoft gepatcht wird.

Storms sagt:" Wenn diese Sicherheitsanfälligkeit bestätigt wird, kann ein Out-of-Band-Patch erforderlich sein und das ist etwas, was jeder gerne in dieser Ferienzeit vermeiden möchte. "