Атака на SecondLife через IE

22:41 27.09.2007

Як повідомив нещодавно pdp в своєму записі IE pwns SecondLife, він виявив у відомій онлайн грі SecondLife уразливість, котра дозволяє через Internet Explorer атакувати користувачів даної гри. Що може бути використано як для отримання конфеденційної інформації про користувача, так і для викрадення його грошей (котрі наявні в його акаунті, а в цій грі фінансова складова дуже розвинена).

Уразливість доволі цікава. І вона використовує такий різновид атаки, як експлоітація URI, котра вже раніше була виявлена в IE, про що я писав, коли через IE виконувалася атака на Firefox. Тоді Mozilla випустила виправлення (причому декілька разів) для Фаєрфокса, а Microsoft не визнала вини свого браузера в цьому векторі атаки. Про експлоітацію URI я ще розповім додатково.

В даному випадку, для атаки на SecondLife через IE, використовується декілька уразливостей (URI exploitation, CSRF та Information leakage) поєднаних в одну атаку. І враховуючи, що Microsoft не візьме на себе відповідальності за їх IE “URI фічу” :-) , то SecondLife потрібно самим виправляти їх програму.


Leave a Reply

You must be logged in to post a comment.