 Podczas użytkowania Internet Explorera, istnieje niebezpieczeństwo wykonania kodu html i skryptów w nim osadzonych w sposób nieświadomy dla oglądającego daną stronę internetową. Jak się okazuje IE pozwala na wykonywanie kodu html ukrytego pod obrazkiem. Internet Explorer sprawdzą nie tylko nazwę pliku i typ MIME obrazka. Jeżeli dane są sprzeczne, przeglądarka sprawdza plik i odpowiednio reaguje. Niestety pozwala to także na MIME Sniffing, gdzie IE zrenderuje obrazek i wykona osadzony w nim kod JavaScript. To już prosta droga do wykradania informacji o np danych logowania użytkownika.
Największym zagrożeniem są strony, gdzie użytkownicy sami mogą ładować swoje obrazki. Tam należałoby sprawdzać typ obrazka przed jego wczytaniem, a nawet zmienić jego format, aby usunąć szkodliwe dane.
Źródło: http://www.heise-online.pl/ |
