Microsoft bagatelizuje lukę IE, która umożliwia śledzenie myszy

Microsoft twierdzi, że bada potencjalny błąd w Internet Explorerze, który pozwala innym na podążanie za pozycją kursora myszy na ekranie, nawet jeśli IE jest zminimalizowane.

Naukowcy z firmy spider.io, zajmującej się analizą reklam, odkryli tę funkcję i zgłosili ją firmie Microsoft na początku października. Zidentyfikowali lukę w Internet Explorerze znalezioną w wersjach od 6 do 10, która umożliwia śledzenie kursora myszy w dowolnym miejscu na ekranie, co może zagrozić bezpieczeństwu klawiatur wirtualnych i klawiatur wirtualnych.

Oto demo wideo z exploita:

Microsoft potwierdził problem, ale nie rozwiązał go w najnowszej aktualizacji łatki dla przeglądarki. Jak dotąd Microsoft twierdzi, że jego dowody wskazują, że witryny mogą wyświetlać tylko stan myszy, ale nie rzeczywistą zawartość, z którą użytkownik korzysta.

Firma twierdzi, że ściśle współpracuje z innymi firmami, aby wyeliminować lukę.

"Z tego, co wiemy teraz, problem leżący u podstaw ma więcej wspólnego z konkurencją między firmami analitycznymi niż z bezpieczeństwem konsumentów czy prywatnością" - powiedział Dean Hachamovitch, wiceprezes Microsoftu, który nadzoruje IE, w poście na blogu.

"Jesteśmy aktywnie pracuję nad dostosowaniem tego zachowania w IE. Podobne możliwości są dostępne w innych przeglądarkach. Firmy analityczne mogą spodziewać się wykrycia punktu widzenia w IE, podobnie jak robią to w innych przeglądarkach "- dodał Hachamowicz. "Jedynym zgłoszonym aktywnym użyciem tego zachowania jest konkurencja dla Spider.io dostarczająca analizy. Teoretyczne wykorzystanie tego zachowania w celu obniżenia bezpieczeństwa lub prywatności konsumentów to coś, co zespół Microsoft ds. Bezpieczeństwa omówił z badaczami z branży. "

Hachamovitch twierdzi, że uzyskanie wszystkich właściwych elementów w celu wykorzystania tej luki jest" trudne do wyobrażenia " "I że" w tym momencie istnieje "bardzo małe ryzyko dla konsumentów."