La vulnerabilidad XSS elude políticas de seguridad de contenido.
El hacker David Leo ha reportado la existencia de una vulnerabilidad XSS (Cross Site Scripting) en el navegador Internet Explorer que elude políticas de seguridad de contenido. Un atacante podria robar cualquier información de otro dominio, e inyectar cualquier información en otro dominio. El fallo existe en Internet Explorer 11 para Windows 7.
Leo también ha divulgado el código funcional de una prueba de concepto sobre la vulnerabilidad en http://www.deusen.co.uk/items/insider3show.3362009741042107, en donde Leo explica el código de explotación de la vulnerabilidad. Al visitar la URL varios scripts son ejecutados.
Para demostrar el ataque Leo utilizó el sitio de noticias The Daily Mail. En el ataque el usuario de Internet Explorer es redirigido a una página de correo en la que es cargado el contenido de una página externa, leyéndose “hacked by Deusen”.
Durante el ataque la barra de direcciones del navegador permanece sin cambios, lo que facilita el engaño al usuario. Seguramente esto favorecerá su uso en ataques phishing antes de que se publique el parche de seguridad.
El fallo fue reportado a Microsoft el 13 de octubre de 2014. Se estima que Microsoft está trabajando en el parche de seguridad para corregir la vulnerabilidad aunque todavía no hay una fecha oficial de publicación de dicho parche.
Joey Fowler, del equipo de seguridad de Tumblr, calificó de “amenaza creíble y peligrosa” a la vulnerabilidad, que inyecta código malicioso, evitando muchas de las políticas de seguridad de contenido y haciendo viable todos los vectores XSS para los atacantes. Según Fowler las pruebas que realizó demostraron que el fallo elude las restricciones estándar HTTP a HTTPS.