Ошибка в Internet Explorer позволяет хакерам эксплуатировать «настольный поиск» Google Desktop, чтобы изучить содержимое жестких дисков пользователей, сообщил израильский хакер Мэйтан Джиллон (Matan Gillon).
Осуществить нападение можно благодаря использованию особенностей Internet Explorer при обработке сайтов, содержащих CSS (Cross-Site Scripting) — систему каскадных стилей. Обычно CSS применяется для украшения текста и настройки отображения тех или иных элементов оформления.
Как оказалось, злоумышленники могут использовать CSS в своих целях. Все, что требуется — это заманить пользователя на сайт, содержащий специально обработанный CSS-код. Действуя в соответствии с кодом, Internet Explorer обращается к Google Desktop, который и открывает удаленный доступ к жесткому диску и ко всей хранящейся на нем информации. В результате чего потенциальные злоумышленники получают возможность узнать номера кредитных карт, пароли и другую ценную информацию.
При этом можно посмотреть даже переписку пользователей — ведь Google Desktop индексирует и сохраняет почтовые сообщения, приходящие на почтовый ящик пользователя.
Проблема актуальна для Internet Explorer 6 и для Google Desktop v2. Проще всего защититься от нее можно, отключив функцию поддержки JavaScript в Internet Explorer.
