據國外報道,安全專家本周一發布預警,通過微軟IE 7瀏覽器存在的一個漏洞,惡意攻擊者可以篡改一個合法網站彈出窗口中的內容。如果用戶訪問一個“信任”站點,并打開該網站上包含惡意代碼的彈出窗口,就有可能會成為IE7新漏洞的受害者。自兩周前正式發布以來,這已經是IE 中發現的第二個安全漏洞。IE7正式發布不足24小時,丹麥安全公司Secunia就發現了其中隱藏的第一個安全漏洞,可能導致用戶的個人信息泄漏。
據Secunia首席技術長托馬斯·克里斯滕森(Thomas Kristensen)表示,如果惡意攻擊者將IE 7的兩個漏洞結合起來利用,除了那些安全意識特別強的用戶,大多數人都容易上當受騙。Secunia將IE 7最新漏洞的危險等級評定為“中等”(moderately critical),因為該漏洞不會導致攻擊者侵入用戶的計算機。但如果用戶在含有惡意代碼的彈出窗口輸入了敏感信息,如信用卡資料、用戶名或密碼等,就有可能成為受害者。
對此,微軟一位代表表示:“常用瀏覽器允許網站打開或重新使用彈出窗口,因此容易被惡意攻擊者利用。而IE 7則在彈出窗口地址欄中顯示了網頁的真實網址,用戶可以據此判斷是否將其列為‘信任’站點。如果用戶遵循我們的安全瀏覽指南,并在輸入敏感個人信息前對HTTPS連接進行驗證,就可以有效地規避危險。”,而Secunia稱,即使是安裝了全部補丁的Windows XP Service Pack 2操作系統,仍然存在最新IE 7漏洞。Secunia建議用戶在瀏覽“信任”站點的同時避免打開“非信任”站點。
(第三媒體 2006-11-02)