Wygląda na to, że przedwcześnie pochwaliłam giganta z Redmond za usuwanie luk na bieżąco (zob. Windows 8: Ledwo się pojawił, a już wymaga łatania. Wbrew pozorom to dobra wiadomość). Z informacji podawanych przez spider.io wynika, że grupa ta jeszcze w październiku zgłosiła Microsoftowi lukę umożliwiającą śledzenie ruchu kursora, jeżeli ofiara odwiedzi stronę ze specjalnie spreparowanym skryptem, używając dowolnej wersji Internet Explorera.

Bardziej szczegółowy opis błędu znajdziemy na blogu grupy, poniżej można natomiast zobaczyć, jak wygląda jego wykorzystanie w praktyce:

Szkodliwy skrypt można użytkownikowi podsunąć np. pod postacią reklamy. Nowoczesne przeglądarki pozwalają na uruchamianie stron w kartach. Załóżmy, że na jednej z otwartych przez użytkownika witryn atakujący umieścił spreparowaną reklamę. Jeżeli ofiara, nie zamykając tej strony, odwiedzi serwis transakcyjny swego banku i zaloguje się do niego przy użyciu klawiatury wirtualnej - skrypt prześledzi ruch kursora na ekranie i przechwyci hasło.

To jeden z możliwych scenariuszy, nieraz mogliśmy się już jednak przekonać, że wyobraźnia internetowych przestępców ma daleko posunięte granice. Sprawę komplikuje fakt, że błąd występuje we wszystkich wersjach IE - od przestarzałej „szóstki” po niedawno wydaną „dziesiątkę” - a Microsoft nie spieszy się z jego załataniem. W takiej sytuacji jedynym bezpiecznym wyjściem jest korzystanie z alternatywnych przeglądarek.