2004年12月IE 6.0中就出現過視窗注射(window injection)漏洞,現在該漏洞仍存在於IE 6.0中,當時微軟建議使用者關閉「跨網域瀏覽子架構」的功能,不過並未提供修補程式。
丹麥的資安業者Secunia於周一(10/30)再度警告微軟最新瀏覽器IE 7.0藏有安全漏洞,這是Secunia自IE 7.0在兩周前發表以來所揭露的第三個IE 7.0漏洞。
Secunia技術長Thomas Kristensen指出,當使用者先造訪一個由駭客建置的網站,之後再連到一個像是銀行或電子商務等擁有彈出式視窗(pop-up)的可信任的網站,駭客可以在該彈出視窗放置任意內容,例如詢問使用者財務資訊或帳號等。
被稱為視窗注射(window injection)的這個IE漏洞,問題在於一個網站可以在其他網站上加註內容。Secunia說,2004年12月IE 6.0中就出現過這個漏洞,現在該漏洞仍存在於IE 6.0中,當時微軟建議使用者關閉「跨網域瀏覽子架構」(Navigate sub-frames across different domains)的功能,不過並未提供修補程式。
當視窗注射漏洞第一次在IE 6.0中現身時,Secunia也建議使用者不要在瀏覽可信任網站時同時開啟不信任的網站。
Thomas Kristensen說,雖然微軟在IE 7.0的預設值是關閉跨網域瀏覽子架構功能,但仍無法避免駭客的攻擊。Secunia將此漏洞列為中度危險(moderately critical)等級,並說尚未接獲有任何網站嘗試利用此漏洞的報告。
微軟發言人表示,微軟並不認為這是一個安全漏洞。他說明Secunia所描述的現象是IE允許一個網站開啟或重新利用一個彈出式視窗,但在IE 7.0中,彈出式視窗的網址是可見的,這可讓使用者正確地進行判斷。
Thomas Kristensen則批評,這讓使用者必須費心檢視網址列是否可信。
Secunia自IE 7.0發表以來已揭露該最新瀏覽器的三個漏洞,第一個漏洞被稱為「跨網域資訊揭露漏洞」(cross-domain information-disclosure),不過微軟旋即聲稱該漏洞是存在於Outlook Express中,與IE無關,第二個漏洞也與跳出式視窗有關,當時微軟說明,該問題是隱藏在網站位址於IE 7.0網址列中顯示的方法,這使得駭客能夠誘導使用者點選一個特定格式的連結。這兩個漏洞皆被Secunia列為較不嚴重等級,微軟則考慮針對Secunia公布的第二個漏洞發表修補程式。(編譯/陳曉莉)
來源:
http://www.ithome.com.tw/it...php?c=40215