Обнаруженная проблема в безопасности браузера снижает безопасность пользователей.
Уязвимость затрагивает версии IE от 6 по 10 и заключается в том, что на специально сформированной странице можно отслеживать все перемещения мыши пользователя в любом месте экрана, в том числе, когда окно браузера свернуто полностью, либо уменьшено в размере. Более того, код, эксплуатирующих уязвимость, можно разместить в рекламных объявлениях, которые отображаются на миллионах обычных ресурсов. И все будет работать!
В Microsoft Security Research Center признали наличие проблемы, но о сроках ее закрытия пока даже примерно ничего не сообщается. Позже, в официальном блоге разработчиков браузера появилась запись о том, что проблема в последнее время оказалась раздута. Они сотрудничают с множеством сторонних компаний для изучения данного вопроса и все привлеченные эксперты свидетельствуют о том, что данная уязвимость хоть и имеет место быть, однако не несет никакой угрозы для пользователей. Страница, на которой возможна эксплуатация, может отслеживать только перемещение мыши, без какой-либо возможности доступа к контенту страницы. В тематических статьях много было сказано про возможность отслеживания нажатий на виртуальную клавиатуру, но разработчики акцентируют внимание на том, что данную возможность очень сложно зафиксировать и использовать.
Также, в записи упоминается о том, что подобное поведение имеется и в других браузерах (правда, не сказано каких) и о том, что большое значение наличие отслеживания мыши в браузере играет только для аналитических компаний, занимающихся сбором данных о пользователях, в том числе и не совсем «белыми» методами. В числе аналитических компаний и сервис Spider.io, работники которого и выпустили статью об уязвимости в Internet Explorer.
В Microsoft будут следить за проблемой и делиться новой информацией, но, как уже сказано выше, о каких-то конкретных сроках закрытия уязвимости данных пока нет. Для желающих протестировать свой IE создана специальная демо-страница.