พบช่องโหว่ร้ายแรงบน IE 11 อาจนำไปสู่การโจมตีแบบ Phishing

มีการค้นพบช่องโหว่สำหรับโจมตีแบบ Cross-Site Scripting (XSS) บน Internet Explorer 11 บน Windows 7 และ 8.1 ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้เป็นช่องทางในการโจมตีแบบ Phishing ไปยังผู้ใช้งานอินเตอร์เน็ตได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย David Leo ตั้งแต่วันที่ 13 ตุลาคม 2014 แต่ยังไม่มีการออก Patch เพื่ออุดช่องโหว่ดังกล่าวจนถึงปัจจุบัน

David Leo ได้ส่งรายงานแจ้งเตือนไปยัง Microsoft ตั้งแต่ที่เขาได้ค้นพบช่องโหว่ดังกล่าว ซึ่งช่องโหว่นี้ทำให้แฮ็คเกอร์สามารถบายพาสหรือเพิกเฉยต่อ Same-Origin Policy ที่ช่วยป้องกันไม่ให้สคริปต์บนเว็บไซต์โหลด Content มาจากภายนอก ผู้ที่สนใจสามารถดูรายละเอียดและตัวอย่างวิธีการโจมตีผ่านช่องโหว่นี้ได้ที่ Exploit Page (ทำงานบน IE 11) — จะสังเกตได้ว่า URL ที่แสดงบน Address Bar ยังคงเหมือนเดิม นั่นหมายความว่า แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวเป็นเครื่องมือในการโจมตีแบบ Phishing โดยที่ผู้ใช้อินเตอร์เน็ตไม่ทราบว่าเว็บไซต์ที่ตนกำลังเข้าถึงถูกดัดแปลงไป

ช่องโหว่บน IE 11 นี้ ได้รับการยืนยันโดย Joey Fowler วิศวกรด้านความปลอดภัยของ Tumblr และได้รับทราบข่าวจากทาง Microsift แล้วว่ากำลังออก Patch เพื่ออุดช่องโหว่ดังกล่าว

ทางด้านโฆษกของ Microsoft ได้ชี้แจงว่า ไม่จำเป็นต้องตื่นตระหนกต่อช่องโหว่นี้จนเกินไป เนื่องจากบน IE เวอร์ชันใหม่มีฟังก์ชัน SmartScreen ที่ช่วยกรองเว็บไซต์ที่เป็น Phishing อยู่แล้ว อย่างไรก็ตาม ผู้ใช้อินเตอร์เน็ตควรหลีกเลี่ยงการเปิดลิงค์ต้องสงสัย หรือบนเว็บไซต์ที่ไม่น่าเชื่อถือ

ที่มา: http://www.net-security.org/secworld.php?id=17913