bjbbjb - 2004/12/19 21:23:00
IE再现高危漏洞 WinXP SP2也难幸免
--------------------------------------------------------------------------------
计算机安全公司Secunia日前表示,他们在微软IE浏览器中发现一个高危险的的安全漏洞。黑客利用这一漏洞可以制造出更具有欺骗性的虚假网站,该漏洞影响到包括Windows XP SP2在内的所有版本的IE浏览器。
据赛迪网12月18日报导,Secunia表示,这一IE漏洞是由DHTML Edit ActiveX控件中的「跨站点脚本漏洞(cross-site scripting)」产生的,由于该漏洞存在于IE浏览器本身,因此它可以被用来攻击任何网站。
根据Secunia公布的漏洞细节,所有的IE浏览器都存在这一漏洞,包括目前被认为最安全的Windows XP SP2中的IE版本。利用这一漏洞,黑客可以制造虚假的网址和SSL签名,从而得以伪造任何网站的内容。
Secunia首席技术长汤马斯.克里斯腾森(Thomas Kristensen)表示,该IE漏洞危险性极高,因为在使用跨网站脚本时,网站的网址及SSL签名显示均是合法的,用户不会发现任何异常现象,而事实上是恶意脚本控制的结果。
Kristensen说,黑客可以通过恶意站点来控制地址框中所显示的URL链接,因此用户根本无法察觉是否遭到攻击。用户只要点击黑客所提供的链接,那么浏览器就会自动打开。而且,用户只能短暂地看到恶意站点的URL链接,此后显示的便是虚假的合法站点链接。
目前,微软公司发言人尚未对此发表任何评论。此前,微软曾经多次因安全公司公布漏洞之前没有首先通知该公司而表示不满。