據賽迪網12月18日報導,Secunia表示,這一IE漏洞是由DHTML Edit ActiveX控制項中的「跨站點腳本漏洞(cross-site scripting)」產生的,由於該漏洞存在於IE瀏覽器本身,因此它可以被用來攻擊任何網站。
根據Secunia公布的漏洞細節,所有的IE瀏覽器都存在這一漏洞,包括目前被認為最安全的Windows XP SP2中的IE版本。利用這一漏洞,黑客可以製造虛假的網址和SSL簽名,從而得以偽造任何網站的內容。
Secunia首席技術長湯馬斯.克里斯騰森(Thomas Kristensen)表示,該IE漏洞危險性極高,因為在使用跨網站腳本時,網站的網址及SSL簽名顯示均是合法的,用戶不會發現任何異常現象,而事實上是惡意腳本控制的結果。
Kristensen說,黑客可以通過惡意站點來控制地址框中所顯示的URL鏈接,因此用戶根本無法察覺是否遭到攻擊。用戶只要點擊黑客所提供的鏈接,那麼瀏覽器就會自動打開。而且,用戶只能短暫地看到惡意站點的URL鏈接,此後顯示的便是虛假的合法站點鏈接。
目前,微軟公司發言人尚未對此發表任何評論。此前,微軟曾經多次因安全公司公布漏洞之前沒有首先通知該公司而表示不滿。
短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。
【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
