Buscar este blog

jueves, 13 de diciembre de 2012

Una vulnerabilidad de Internet Explorer permite a cualquier web seguir el movimiento del ratón

 
Se ha descubierto una nueva vulnerabilidad en Internet Explorer que afecta a todas las versiones desde la sexta, que permite a cualquier página seguir los movimientos del ratón, incluso con la ventana minimizada o inactiva.
El fallo es sencillo conceptualmente, con una función de JavaScript se activa el evento OnMouseMove y va recibiendo la posición del ratón, de la ventana y las teclas modificadoras (Control, Alt o Shift) activadas. Lo normal sería que el evento se active cuando se mueve el ratón en la página, pero con la función FireEvent se activa manualmente cualquier evento. El exploit consiste en llamar continuamente a la función para activar el evento y leer siempre la posición del ratón incluso con la ventana de Internet Explorer minimizada o inactiva.
Esta vulnerabilidad afecta a cualquier persona que use teclados virtuales para introducir datos confidenciales: no sería demasiado difícil adivinar qué teclas se habrían pulsado según los movimientos del ratón. 
Por ejemplo podría incluirse este código para entrar en una web bancaria. Si en alguna de esas páginas web hay un formulario de inicio de sesión, el script podría quedarse con los movimientos del ratón y extraer el usuario y contraseña de los visitantes que usen teclados virtuales.
La gente que no use este tipo de aplicaciones no corre riesgo ya que no sirve de nada saber el movimiento del ratón si no saben que hay debajo. Yo creo que es un bug grave por el motivo que comento, pero Microsoft no considera lo mismo y no va a preparar un parche inmediato para IE.

No hay comentarios:

Publicar un comentario