Microsoft в скором времени выпустит обновление, избавляющее Internet Explorer 8 от уязвимости, которая позволяет проводить серьезные атаки на сайты, при других обстоятельствах являющиеся безопасными.

Нововведение, которое будет представлено в июне, станет третьей за полгода доработкой функции браузера IE8, призванной отфильтровывать атаки с использованием межсайтового скриптинга (XSS).

Так, в ноябре прошлого года стало известно о том, что этот фильтр можно использовать для проведения XSS-атак на сайты, которые в остальных случаях не являются уязвимыми. Компания Microsoft с тех пор дважды, в январе и марте, вносила изменения в свой фильтр, однако на прошлой неделе в ходе конференции Black Hat в Барселоне исследователи продемонстрировали, что он все еще дает возможность проведения вредоносных инъекций в такие сайты, как Google, Wikipedia, Twitter и даже в портал Bing, принадлежащий самой Microsoft.

"Проблема проявляется, когда вредоносный скрипт прорывается изнутри конструкции, которая уже находится внутри существующего скриптового блока", - поясняет специалист Microsoft Security Response Center Дэвид Росс. По его словам, несмотря на то, что проблема была обнаружена и устранена патчем MS10-002, выяснилось, что проведение атаки против популярных сайтов все еще возможно, хотя и крайне затруднительно в реальном мире.

XSS-эксплоиты позволяют хакерам вставлять вредоносный код или контент в доверенные веб-ресурсы, принуждая пользователей кликать по подложным ссылкам. Поскольку такие ссылки содержат адреса хорошо известных сайтов, они обычно не вызывают подозрений, что и подтвердил недавний случай с администраторами из Apache Foundation, которые открыли вредоносные ссылки и выдали свои логины нападавшим.

Избежать атак такого рода позволяет XSS-фильтр для Internet Explorer от Microsoft или аналогичный по назначению плагин NoScript к браузеру Firefox.