Componente de segurança do Internet Explorer deixa sites vulneráveis

IE 8 - Entre seus recursos de segurança, o Internet Explorer possui um filtro de XSS. Ataques de XSS dificilmente são considerados graves, mas isso vem mudando com casos como o da Fundação Apache Software, invadida por meio de uma falha de XSS. O Internet Explorer 8 tenta identificar um ataque de XSS e alterar o conteúdo da página para neutralizá-lo. Ataques de XSS ocorrem quando um indivíduo mal-intencionado é capaz de injetar código na página web vista pelo internauta. Isso pode acontecer em principalmente em dois cenários: quando um site permite que o usuário crie conteúdo (como em comentários de blogs ou recados no Orkut) ou quando um link exibe conteúdo na página – como acontece nas páginas de busca, que exibem “Você está pesquisando por X”. “X” foi um conteúdo definido pelo usuário.

Se “X” não for adequadamente filtrado, a busca irá executar código no navegador. Ao alterar a página web para tentar proteger os internautas, o Internet Explorer abre uma nova vulnerabilidade. Com isso, sites que não possuem uma falha de XSS passam a ser vulneráveis – e eles nem podem corrigir o problema, porque a falha está no navegador. Entre os sites que se tornam vulneráveis devido ao filtro do Internet Explorer estão a Wikipedia, o Google, o Twitter e até o Bing, da própria Microsoft.