|
引用 | 编辑
kesnck
2006-11-02 12:43 |
楼主
|
||
x0
丹麦的资安业者Secunia于周一(10/30)再度警告微软最新浏览器IE 7.0藏有安全漏洞,这是Secunia自IE 7.0在两周前发表以来所揭露的第三个IE 7.0漏洞。 Secunia技术长Thomas Kristensen指出,当使用者先造访一个由骇客建置的网站,之后再连到一个像是银行或电子商务等拥有弹出式视窗(pop-up)的可信任的网站,骇客可以在该弹出视窗放置任意内容,例如询问使用者财务资讯或帐号等。 被称为视窗注射(window injection)的这个IE漏洞,问题在于一个网站可以在其他网站上加注内容。Secunia说,2004年12月IE 6.0中就出现过这个漏洞,现在该漏洞仍存在于IE 6.0中,当时微软建议使用者关闭「跨网域浏览子架构」(Navigate sub-frames across different domains)的功能,不过并未提供修补程式。 当视窗注射漏洞第一次在IE 6.0中现身时,Secunia也建议使用者不要在浏览可信任网站时同时开启不信任的网站。 Thomas Kristensen说,虽然微软在IE 7.0的预设值是关闭跨网域浏览子架构功能,但仍无法避免骇客的攻击。Secunia将此漏洞列为中度危险(moderately critical)等级,并说尚未接获有任何网站尝试利用此漏洞的报告。 微软发言人表示,微软并不认为这是一个安全漏洞。他说明Secunia所描述的现象是IE允许一个网站开启或重新利用一个弹出式视窗,但在IE 7.0中,弹出式视窗的网址是可见的,这可让使用者正确地进行判断。 Thomas Kristensen则批评,这让使用者必须费心检视网址列是否可信。 Secunia自IE 7.0发表以来已揭露该最新浏览器的三个漏洞,第一个漏洞被称为「跨网域资讯揭露漏洞」(cross-domain information-disclosure),不过微软旋即声称该漏洞是存在于Outlook Express中,与IE无关,第二个漏洞也与跳出式视窗有关,当时微软说明,该问题是隐藏在网站位址于IE 7.0网址列中显示的方法,这使得骇客能够诱导使用者点选一个特定格式的连结。这两个漏洞皆被Secunia列为较不严重等级,微软则考虑针对Secunia公布的第二个漏洞发表修补程式。(编译/陈晓莉) 来源:http://www.ithome.com.tw/itadm/article.php?c=40215  x1
|
|||