Descubierta nueva vulnerabilidad en Internet Explorer

Desafortunadamente a pesar de los esfuerzos emprendidos por Microsoft por mejorar su navegador Internet Explorer, se acaba de descubrir una nueva vulnerabilidad (que afecta a todas las versiones desde la sexta) que permite a cualquier página seguir todos los movimientos del ratón, incluso con la ventana minimizada o inactiva.

Técnicamente el exploit crea una función en JavaScript que se activa con el evento OnMouseMove de la página que se esté cargando y que recibe los datos de posición del ratón de la ventana y de las teclas modificadoras (Control, Alt o Shift) que estén pulsadas. Normalmente el evento OnMouseMove sólo se activa cuando se mueve el ratón por la página, sin embargo hay una función llamada fireEvent que activa manualmente cualquier evento… Así pues el exploit simplemente llama continuamente a esa función para activar el evento OnMouseMove y así leer la posición del ratón incluso con la ventana de Internet Explorer minimizada o inactiva…

Incluso en páginas donde se hace uso del famoso teclado virtual como método de acceso seguro sería posible averiguar las teclas virtuales pulsadas a raíz del estudio de los movimientos realizados por el ratón recogidos por el exploit…

Microsoft considera este bug de poca relevancia (de nada sirve saber los movimientos del ratón si desconoces lo que hay debajo) por lo que no está preparando ningún parche de forma inminente. Habrá que esperar…

Vía: Spider.io

Compartir en Google Plus

Acerca de Jorge Autor

  • WordPress Comentarios
  • Facebook Comentarios