Un bug en Internet Explorer permite a los sitios sin escrúpulos detectar lo que el usuario está escribiendo en su barra de direcciones URL
Esto incluye nuevas direcciones URL donde el usuario podría estar navegando hacia, sino también los términos de búsqueda que IE maneja automáticamente a través de una búsqueda Bing. Los usuarios copiar y pegar direcciones URL de páginas de Intranet dentro de IE es probable que vea este error como un gran problema.El error, descubierto por el investigador de seguridad Manuel Caballero, plantea un riesgo para la privacidad, ya que podría ser utilizado en operaciones de reconocimiento en los ataques dirigidos, sino también para la recolección de datos por los anunciantes en línea.
El error se produce cuando se carga una página IE con una etiqueta de objeto HTML malicioso y cuenta con la etiqueta meta de compatibilidad en su código fuente. Ambas condiciones son bastante fáciles de cumplir.Condición uno: Los atacantes pueden ocultar etiquetas de objeto HTML maliciosos en sitios comprometidos o cargarlo a través de anuncios que permiten a los anunciantes para cargar HTML personalizado y / o el código JavaScript.
Condición dos: X-UA-Compatible es una etiqueta meta modo de documentos que permite a los autores elegir qué versión de Internet Explorer debe ser traducido . Casi todos los sitios en Internet tienen una etiqueta meta compatibilidad.
De acuerdo con Caballero, cuando el código JavaScript se ejecuta en la etiqueta de objeto HTML malicioso,
"el objeto ubicación se confundirá y devolver la ubicación principal en lugar de su propio."
En términos sencillos, esto significa que la etiqueta de objeto HTML malicioso, que puede ser cargada y oculta dentro de una página, tendrán acceso a los recursos y la información disponibles anteriormente a la ventana principal del navegador.
En una técnica de escritura en marcha del error, Caballero dice que el objeto malicioso puede entonces
"recuperar el location.href del objeto mientras que el usuario abandona la página principal,"lo que permite a un atacante "
sabe lo que [el usuario] escribe en el Barra de dirección."
Anteriormente, Caballero también descubrió un error en Internet Explorer que permite que el código JavaScript malicioso persistir y seguir funcionando en el fondo del navegador, incluso si el usuario ha cerrado la pestaña de la página maliciosa. Este error se podría ser objeto de abuso por Malvertising campañas para entregar mineros criptomoneda que utilizan recursos computacionales de un usuario a la mía Monero mucho después de que el usuario ha visitado un sitio malicioso, haciendo que el ordenador del usuario ir más lento y un desgaste prematuro del procesador del usuario.
Fecha actualización el 2021-9-27. Fecha publicación el 2017-9-27. Categoría: Navegador. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer