安全檢測公司Secunia當地時間周三對外稱,上周發布的IE7,允許一個站點彈出一個可能包含欺詐性網站地址的窗口。Secunia在安全警告中稱,攻擊者可能會利用該漏洞對用戶造成一種假象,認為他們正在訪問的是一個可信任站點,而事實上他們正在查看的是一個惡意頁面。
“這個問題的存在,使彈出窗口只能顯示地址欄的一部分,從而對用戶形成欺騙,以致其進幸恍┪摶饈兜牟僮鰨盨ecunia說道。該公司還進行了一個演示,在演示中,彈出窗口的地址欄顯示的微軟的網站地址,而顯示的是來自Secunia的內容。
對此,一名微軟負責人在一封電子郵件中解釋到,該問題存在于IE7地址欄中顯示網站地址的方式。該負責人還說,攻擊者可能會通過誘使一個用戶點擊一個特殊格式的鏈接,從而利用該漏洞發起攻擊。
微軟方面稱,彈出窗口將阻止網站地址的剩余部分。“然而,點擊瀏覽器窗口或者地址欄,并按住鼠標左鍵,一直的向右移動選擇內容,將會顯示全部的URL。”在Secunia演示的情況中,利用這種方式可以將Secunia的URL顯示出來。
微軟方面還稱,如果一個網站是一個已知的釣魚式站點,利用該漏洞的攻擊是不會成功的,因為IE7反釣魚防護將標識這些站點,并對用戶發出警告。微軟方面表示,它并不擔心真的使用該漏洞所發起的任何攻擊。
IE7是微軟旗下著名的Internet Explorer瀏覽器在近五年之內的第一個主要升級。安全是該升級版本的主打優勢,而反釣魚則是微軟所關注的一個主要目標。
Secunia評定為“低等級”安全級別的欺詐性漏洞,看上去是微軟瀏覽器中爆出的第一個真正的、公開披露的漏洞。微軟方面稱,早先爆出的那個安全漏洞并非怪罪于IE7,完全是存在于Outlook Express中。
微軟表示,將繼續對此問題進行跟蹤,并提供一個瀏覽器補丁對其作出修補。微軟斥責了公開該漏洞的匿名人士,因為其希望安全問題能夠秘密地揭露,這樣它可以在被公眾獲悉之前作出修補。
Secunia所演示的界面:
渝公網安備 50024202000196號
公司動態
行業動態
企業動態
網絡熱點
QQ空間
新浪微博
開心網
人人網