O Microsoft Internet Explorer 8 trouxe como novidade uma proteção contra cross-site scripting, ou XSS. No entanto, o sistema de proteção contém falhas de segurança que, se exploradas, permitem injeção de código arbitrário JavaScript em páginas que seriam seguras sem o uso da proteção.
A proteção contra XSS da Microsoft funciona filtrando respostas do servidor, modificando-as se detectar algo suspeito. É esta arquitetura que, segundo os especialistas, permite a terceiros mal-intencionados inserir código arbitrário no código das páginas. Para isso, basta ter alguma forma de controle sobre o site, fato comum em fóruns e páginas web 2.0 como redes sociais ou wikipedia.
O problema foi reconhecido pela Microsoft há vários meses, mas a empresa não tomou medidas a respeito. A Google usa sua própria proteção contra a proteção da Microsoft, desabilitando esta com um “anti-proteção-XSS”.
Nenhum comentário:
Postar um comentário