微软正在调查IE的一个新安全漏洞。即使你的Windows系统已进行最新安全更新,也会难逃钓鱼攻击。
星期五,软件巨人表示会对一份来自Secunia等几家安全公司的报告展开调查。这份报告说道:一个IE6漏洞允许欺诈分子实施钓鱼攻击。受影响的系统包括已安装上最新服务包XP2的Windows XP以及所有旧版操作系统。究竟什么是钓鱼攻击呢?典型的钓鱼攻击会利用看似等合法公司的虚假网站窃取用户号码等私人信息。
安全公司顾问透露,这个浏览器漏洞允许欺诈分创建一个难于发觉的欺骗网站,就是连SSL数字认证也能假冒。另外,钓鱼攻击者还能窃取任意网站的cookie。
安全公司高级技术官员Thomas Kristensen表示,问题是用户不会再信任在浏览器看到的内容。这个漏洞能引诱用户在自认为是可靠的网站上执行一系列操作,而这些操作都会被另一个恶意网站记录和控制。
虽然这个漏洞会对IE用户构成潜在威胁,但是Secunia仍然把这个漏洞标记为"中等危急"级别,因为它不能访问计算机网络。
报告上指出,这个漏洞是由于IE6的DHTML Edit ActiveX控件在某种情形下执行"execScript" 发生异常造成的,浏览器因而能够执行任意脚本代码。攻击者可以通过发送一封含有虚假网站链接的邮件实施钓鱼攻击。而用户在点击虚假网站链接前,恶意网站的URL会简要显示出来。
Kristensen说道,问题是ActiveX控件处理输入信息时,在返回到浏览器之前没有进行合法性检查。这样,恶意代码就有机会控制浏览器显示的内容,使到浏览器错误认为登陆了一个可靠的网站。
Secunia在网站上公布了一个漏洞演示样本,并建议用户在补丁发布前,禁止浏览器支持ActiveX。
------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------
