Investigadores de Spider.io han descubierto un agujero de seguridad en Internet Explorer, que permite rastrear los movimientos del cursor del mouse, incluso si la ventana está inactiva, minimizada o fuera de foco. Las versiones de IE 6 a 10 se ven afectadas.
La vulnerabilidad es particularmente preocupante dado que desbarata el uso de teclados virtuales y teclados virtual, que se utilizan como defensa contra los keyloggers.
Spider.io ha publicado un breve video donde se demuestra el problema descubierto el primero de octubre e informanda a la empresa.
Microsoft Security Research Center reconoció el error, pero "no tiene planes inmediatos para remediar el problema", así que Spider.io la hizo pública el martes.
Al parecer, la vulnerabilidad está siendo activamente explotada por al menos dos compañías de análisis y rastreo web.
Para demostrar lo fácil que es explotar la vulnerabilidad, spider.io ha convertido el seguimiento en un juego, que consiste en obtener información a partir del uso de un teclado virtual, a través del seguimiento de los movimientos del mouse.
Los detalles técnicos de la vulnerabilidad tiene que ver con el modelo de eventos de IE, combinado con la capacidad para activar estos eventos manualmente a través del método fireEvent(), manipulable por JavaScript.
Fuente: http://blog.segu-info.com.ar/2012/12/vulnerabilidad-en-internet-explorer.html
No hay comentarios:
Publicar un comentario