業(yè)務咨詢:158-0164-8880
發(fā)布時間:2007-03-15 瀏覽:
【賽迪網(wǎng)訊】3月15日消息,一位安全研究員周三報告稱,微軟IE瀏覽器上存在的一個漏洞有可能輕易讓用戶掉入網(wǎng)絡詐騙陷阱。
據(jù)IDG新聞社報道,據(jù)以色列安全研究員Aviv Raff稱,該漏洞存在于IE7處理存儲于本地的HTML出錯信息頁面的方式上。通常情況下,當用戶取消登陸一個網(wǎng)頁時,該出錯信息就會出現(xiàn)。
出錯信息告訴用戶,“與該網(wǎng)頁的連接已被取消”,同時它還會提供一個“刷新頁面”的機會。如果點擊了刷新連接,IE可以會受到欺騙,顯示一個錯誤的網(wǎng)頁地址。Raff公布的概念性代碼展示了IE如何被利用來顯示他的網(wǎng)站上的一個頁面,而該頁面看上去會讓人誤以為來自cnn.com。
Raff說,這個漏洞可能會被那些試圖讓自己的欺騙性網(wǎng)站看上去更合法的網(wǎng)絡釣魚者所利用。
“我可以在該頁面上注入一個腳本,當用戶點擊‘刷新’時,它可以顯示我想要的任何內(nèi)容?!彼f?!皩⑦@個與設(shè)計漏洞相結(jié)合,瀏覽器的地址欄就可以顯示出攻擊者想要的任何URL,并顯示出他想要的任何結(jié)果?!?
這種類型的缺陷通常被稱為跨網(wǎng)站腳本漏洞。Raff 說,它影響到Vista和XP上運行的IE 7。
微軟沒有立即證實Raff的這個發(fā)現(xiàn),但該公司發(fā)布了一個聲明稱,微軟正在對這個問題進行調(diào)查,目前尚未發(fā)現(xiàn)有相關(guān)攻擊事件發(fā)生。
本文章為龍禧科技(u12192.cn)原創(chuàng),如轉(zhuǎn)載請注明出處,謝謝。
我們專注:北京網(wǎng)站建設(shè)/北京網(wǎng)站制作/北京網(wǎng)站設(shè)計的北京網(wǎng)站建設(shè)公司。