В актуальной версии Internet Explorer присутствует уязвимость межсайтового скриптинга (XSS), которая позволяет обойти политику единства происхождения. С помощью бреши злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе.
Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует её действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нём отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.
Читать дальше →
