Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/12/2012
Forat d'Internet Explorer permet controlar el ratolí
Un forat de seguretat present en totes les versions d’Internet Explorer, des de la 6 fins a les 10, pot ser explotat per llocs interessats a detectar el desplaçament del punter del ratolí en la pantalla.
El forat està present en totes les versions del navegador, des de les 6 fins a la més recent, la número 10. La informació va ser publicada inicialment pel lloc spider.io i va ser referit per la publicació The Next Web.
Segons s’indica, spider.io hauria notificat del problema a Microsoft el dia 1 d’octubre, però l’empresa no tindria plans immediats de posar pegats al navegador, per la qual cosa ha optat per fer públic el problema.
En esta demostració en línia és possible provar com funciona el forat de seguretat.
La possibilitat de detectar el moviment del punter del ratolí en la pantalla és especialment interessant per al cas dels teclats virtuals, on l’usuari ha de fer clic en determinats botons a fi de digitar paraules o codis.
Este procediment s'utilitza per a dificultar la tasca dels keyloggers, que d’eixa forma queden incapacitats per a detectar el que l’usuari escriu en el teclat. No obstant això, en este cas és possible detectar els moviments del ratolí, i així obtindre la mateixa informació.
Segons la font, el procediment és possible inclús sense instal·lar cap programari maliciós en la computadora, pel fet que Internet Explorer detecta i registra pel seu compte els moviments del ratolí.
Per a fer possible l’atac, l’intrús només necessita comprar un anunci en un lloc que l’usuari visita. Mentres la pàgina estiga oberta és possible registrar els moviments del ratolí.
Açò s’aplica inclús quan l’usuari es trobe en una altra pestanya, es canvie a una altra finestra o inclús minimitze la finestra del navegador.
Spider.io descriu almenys dos empreses de publicitat en línia que ja aprofiten la vulnerabilitat per a espiar els seus usuaris.
També han penjat un vídeo en Youtube on es descriu el procediment i les possibilitats que brinda. En este cas, s’està utilitzant el programa Skype.