ค้นพบช่องโหว่สำหรับโจมตีแบบ Cross-Site Scripting (XSS) ของ Internet Explorer 11 บน Windows 7 และ 8.1 ซึ่งช่วยให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีแบบ Phishing ไปยังผู้ใช้งานอินเตอร์เน็ตได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย David Leo ตั้งแต่วันที่ 13 ตุลาคม 2014 แต่ยังไม่มีการออก Patch เพื่ออุดช่องโหว่ดังกล่าวจนถึงปัจจุบัน
David Leo ได้ส่งรายงานแจ้งเตือนไปยัง Microsoft ตั้งแต่ที่เขาได้ค้นพบช่องโหว่ดังกล่าว ซึ่งช่องโหว่นี้ทำให้แฮกเกอร์สามารถบายพาสหรือเพิกเฉยต่อ Same-Origin Policy ที่ช่วยป้องกันไม่ให้สคริปต์บนเว็บไซต์โหลด Content มาจากภายนอก นั่นหมายความว่า แฮกเกอร์สามารถใช้ช่องโหว่ดังกล่าวเป็นเครื่องมือในการโจมตีแบบ Phishing โดยที่ผู้ใช้อินเตอร์เน็ตไม่ทราบว่าเว็บไซต์ที่ตนกำลังเข้าถึงถูกดัดแปลงไป
ช่องโหว่บน IE 11 นี้ ได้รับการยืนยันโดย Joey Fowler วิศวกรด้านความปลอดภัยของ Tumblr และได้รับทราบข่าวจากทาง Microsift แล้วว่ากำลังออก Patch เพื่ออุดช่องโหว่ดังกล่าว
ทางด้านโฆษกของ Microsoft ได้ชี้แจงว่า ไม่จำเป็นต้องตื่นตระหนกต่อช่องโหว่นี้จนเกินไป เนื่องจากบน IE เวอร์ชันใหม่มีฟังก์ชั่น SmartScreen ที่ช่วยกรองเว็บไซต์ที่เป็น Phishing อยู่แล้ว อย่างไรก็ตาม ผู้ใช้อินเตอร์เน็ตควรหลีกเลี่ยงการเปิดลิงค์ต้องสงสัย หรือบนเว็บไซต์ที่ไม่น่าเชื่อถือ
ที่มา : net-security
Leave a comment!
You must be logged in to post a comment.