以色列安全研究人员 Aviv Raff 称,微软 IE7 中存在一个缺陷,可以让钓鱼欺诈网站伪装成正常网站,诱导用户上当受骗。
Aviv Raff 指出,问题出现在 IE7 处理本地 HTML 错误信息页面的过程中,比如如果用户临时取消网页的载入,就会出现那个熟悉的“已取消到该网页的导航”页面,并提供“刷新该网页”的链接,而一旦用户点击这一链接,就可能陷入虚假网页的欺骗。
Raff 已经发布了概念验证型代码,演示 IE7 如何被骗显示了他的网站,而看起来却像是在显示 cnn.com。他说,我可以插入一段 Script 代码,让 IE7 在刷新时显示任何我想要的页面,包括钓鱼欺诈内容。
Raff 指出,这是 IE 里常见的跨网站脚本缺陷,Windows XP 和 Windows Vista 下都无法幸免。IE7 此前暴露的几个漏洞也属于此类。
微软已经开始就此展开调查。虽然尚未发现任何实际攻击,但在微软发布补丁前,最好不要轻信 IE 的错误页面。
【点击查看视频演示】
没有评论:
发表评论