XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Компания Positive Technologies сообщила о ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в браузере жертвы в обход политики единства происхождения практически на любом сайте, говорится в заявлении Positive Technologies, поступившем в редакцию CNews.
Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте ежедневной газеты Великобритании Daily Mail dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение Hacked by Deusen.
Уязвимость присутствует в Internet Explorer 10.x и 11.x и, как поясняется на сайте securitylab.ru, существует из-за ошибки при обработке элементов iframe внутри DOM-модели. По словам экспертов Positive Technologies, в Сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.
Для защиты от потенциальных атак необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого веб-сервером.
Для Apache настройка в .htaccess будет выглядеть так:
Header always append X-Frame-Options SAMEORIGIN
Для nginx — так:
add_header X-Frame-Options SAMEORIGIN;
для IIS — следующим образом:
…
По информации Positive Technologies, при отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall.
© CNews