网络安全研究人员周一警告称,IE7 上存在的一个漏洞有可能允许恶意攻击者篡改一个合法网站上的弹出窗口里面的内容.
据 ZDNet 网站报道,那些访问一个受新任网站并打开了该网站上包含恶意代码的弹出式窗口的用户可能成为这个漏洞的受害者.这已是微软 IE7 发布2周以来发现的第二个安全漏洞.上周,人们在 IE7 上发现了一个可能在弹出窗口里显示诱骗性地址栏的漏洞.
据安全公司 Secunia 的首席技术官 Thomas Kristensen 称,如果 IE7 的这两个漏洞被结合在一起利用的话,除了哪些对安全问题时刻都保持警惕的用户外,所有的用户都会轻易上当受骗.
Secunia 将最新发现的这一漏洞评定为“中度危险”,因为浏览这些内容不不会导致攻击者侵入用户的电脑,但如果用户在含有恶意代码的弹出窗口输入了敏感信息,如信用卡资料、用户名或密码等,就有可能成为受害者.此外,该漏洞评定为“中度危险”还因为它需要用户的参与,而且只影响到特定的受信任网站.
Secunia 指出,该安全缺陷影响到运行 IE7 和 Windows XP SP2 的补丁齐全的系统.这家安全公司建议用户在浏览受信任网站的同时避免打开可疑的网站.
与上一个 IE7 漏洞一样,这次还是浏览器对弹出窗口的控制问题出现了瑕疵。IE7 本来可以抵御利用新漏洞发起的攻击,不过如果黑客配合利用上一个漏洞,IE7 就无能为力了。
测试表明,如果开启 IE7 的弹出窗口屏蔽功能,可以在很大程度上弥补这一漏洞。旧版的 IE6 和 Firefox 1.5 以及同样刚发布的 Firefox 2.0 也都存在这一漏洞,尤为严重的是:Firefox 1.5 即使开启弹出窗口屏蔽功能也无济于事。
Secunia 照例又给出了一个测试演示页面: 点击打开
没有评论:
发表评论