Błąd w zabezpieczeniach przeglądarek umożliwia cyberprzestępcom stworzenie strony WWW, która będzie w stanie wyświetlać komunikaty na innych stronach, odwiedzanych po niej. Jeśli taki komunikat będzie np. formularzem, przestępcy mogą wykradać za jego pośrednictwem cenne informacje. Użytkownikowi trudno jest rozpoznać, jaka strona wyświetla komunikat, ponieważ okienka JavaScript nie zawierają informacji o stronie źródłowej.

Przykładowy atak może wyglądać tak - przestępca skłania ofiarę do wejścia na określoną stronę WWW (np. przesyłając adres e-mailem lub za pośrednictwem komunikatora), z której ofiara zostaje później przekierowana (automatycznie lub poprzez kliknięcie odnośnika) np. na stronę swojego e-banku. Tam, podczas próby zalogowania się, wyświetlone zostanie okienko z prośbą o ponowne podanie loginu i hasła - gdy użytkownik to zrobi, informacje te zostaną przechwycone przez przestępcę (ponieważ okienko wyświetlone zostało nie przez bank, lecz przez poprzednio odwiedzoną stronę).

Zobacz również:

• Mobilna przeglądarka Firefox dla urządzeń Android wzbogaci się o setki nowych rozszerzeń
• Ta przeglądarka pozwoli pobierać na komputer różne modele językowe LLM

Jak twierdzą przedstawiciele Secunia, na taki atak podatna jest więkoszość popularnych przeglądarek - nawet ich najnowsze wersje. Firma stworzyła specjalną stronę testową, na której można sprawdzić, czy dana przeglądarka może zostać zaatakowana w opisany powyżej sposób. Aby skorzystać z testu, należy kliknąć łącze "Test Now - Left Click On This Link" - wtedy otwarta zostanie strona wyszukiwarki Google. Następnie wyświetlone zostanie okno dialogowe z prośbą o podanie informacji - jeśli okno to nie będzie zawierało informacji o tym, która strona je wyświetliła, będzie to oznaczało, że przeglądarka jest podatna na atak. Redakcyjne testy potwierdziły, że dotyczy to m.in. najnowszych wersji Internet Explorera oraz Firefoksa.

Więcej informacji: Secunia.