 Podczas u�ytkowania Internet Explorera, istnieje niebezpiecze�stwo wykonania kodu html i skrypt�w w nim osadzonych w spos�b nie�wiadomy dla ogl�daj�cego dan� stron� internetow�. Jak si� okazuje IE pozwala na wykonywanie kodu html ukrytego pod obrazkiem. Internet Explorer sprawdz� nie tylko nazw� pliku i typ MIME obrazka. Je�eli dane s� sprzeczne, przegl�darka sprawdza plik i odpowiednio reaguje. Niestety pozwala to tak�e na MIME Sniffing, gdzie IE zrenderuje obrazek i wykona osadzony w nim kod JavaScript. To ju� prosta droga do wykradania informacji o np danych logowania u�ytkownika.
Najwi�kszym zagro�eniem s� strony, gdzie u�ytkownicy sami mog� �adowa� swoje obrazki. Tam nale�a�oby sprawdza� typ obrazka przed jego wczytaniem, a nawet zmieni� jego format, aby usun�� szkodliwe dane.
�r�d�o: http://www.heise-online.pl/ |
