XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты

ПредыдущаяСледующая

На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.

Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».

Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.

Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:

Header always append X-Frame-Options SAMEORIGIN

Для nginx:

add_header X-Frame-Options SAMEORIGIN;

Для IIS:

<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>

При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).

6 февраля 2015 Г.

10:44

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

В сентябре Razer анонсирует новый смартфон и коммерческую версию док-станции Project Linda: Razer Project Linda воплотят в серийный продукт1

Переводить Ирландии 13 млрд евро компания Apple будет с марта по сентябрь текущего года: Apple будет переводить Ирландии деньги до сентября 11

В Австралии двое утопающих были спасены посредством дрона: Дроны в Австралии помогут спасать людей7

В прошлом году в мире на мобильные приложения было потрачено 86 млрд долларов: Среднестатистический пользователь проводит в мобильных приложениях 43 дня в году7

Moto Folio — самый доступный модуль для смартфонов Moto Z: Модуль Moto Folio является чехлом-книжкой6

Iiyama XB2779QQS — 27-дюймовый монитор 5K стоимостью 800 евро: Монитор Iiyama XB2779QQS получил 27-дюймовую панель 5K16

Samsung и LG договорились о поставке гораздо большего количества телевизионных ЖК-панелей: LG поставит Samsung 1 млн телевизионных панелей 13

Частота процессора AMD Ryzen 5 2600 будет на 200 МГц выше, чем у Ryzen 5 1600: CPU Ryzen 5 2600 получит небольшую прибавку к частотам 33

Рынок технологий умных городов будет расти на 11% в год: К 2026 году рынок технологий умных городов достигнет 62 млрд долларов2

194
-

iXBT TV

  • Обзор автомобиля Mercedes-Benz E 220 d 4Matic All-Terrain Luxury: полноприводный внедорожный универсал

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

  • Apple специально замедляет старые iPhone, VR-революция, крошечный телефон

  • Обзор широкоугольного объектива Canon EF 35 mm F1.4L II USM

  • Обзор робота-пылесоса Kitfort KT-516 со сменными уборочными блоками

  • iMac Pro за $13 000, космический туризм, клавиатурные шпионы от HP

Календарь

февраль
Пн
Вт
Ср
Чт
Пт
Сб
Вс

-