Microsoft исправит уязвимости встроенного XSS-фильтра Internet Explorer 8 в июне
Компания Microsoft готовит очередное экстренное обновление безопасности для своего браузера Internet Explorer 8. Обновление должно устранить уязвимость во встроенном фильтре межсайтового скриптинга (cross-site scripting — XSS), который используется для выявления и предотвращения запуска различных типов атак с веб-сайтов. Для данного фильтра это уже третье обновление, однако он все еще остается уязвимым для веб-атак.
На недавней конференции Black Hat Europe был подробно показан механизм взлома XSS-фильтра. Авторы доклада Девид Линсдей (David Lindsay) и Эдуардо Вела Нава (Eduardo Vela Nava) рассказали, что в некоторых случаях ошибки в XSS-фильтре позволяют разрешить межсайтовый скриптинг даже на сайтах с отсутствием уязвимостей. Эксплойты уже выпущены для таких популярных ресурсов, как Google, Bing и Twitter.
