广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 34994 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
kesnck 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x9 鲜花 x101
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
资安公司再爆:IE 7.0有旧版漏洞
2004年12月IE 6.0中就出现过视窗注射(window injection)漏洞,现在该漏洞仍存在于IE 6.0中,当时微软建议使用者关闭「跨网域浏览子架构」的功能,不过并未提供修补程式。



丹麦的资安业者Secunia于周一(10/30)再度警告微软最新浏览器IE 7.0藏有安全漏洞,这是Secunia自IE 7.0在两周前发表以来所揭露的第三个IE 7.0漏洞。

Secunia技术长Thomas Kristensen指出,当使用者先造访一个由骇客建置的网站,之后再连到一个像是银行或电子商务等拥有弹出式视窗(pop-up)的可信任的网站,骇客可以在该弹出视窗放置任意内容,例如询问使用者财务资讯或帐号等。

被称为视窗注射(window injection)的这个IE漏洞,问题在于一个网站可以在其他网站上加注内容。Secunia说,2004年12月IE 6.0中就出现过这个漏洞,现在该漏洞仍存在于IE 6.0中,当时微软建议使用者关闭「跨网域浏览子架构」(Navigate sub-frames across different domains)的功能,不过并未提供修补程式。

当视窗注射漏洞第一次在IE 6.0中现身时,Secunia也建议使用者不要在浏览可信任网站时同时开启不信任的网站。

Thomas Kristensen说,虽然微软在IE 7.0的预设值是关闭跨网域浏览子架构功能,但仍无法避免骇客的攻击。Secunia将此漏洞列为中度危险(moderately critical)等级,并说尚未接获有任何网站尝试利用此漏洞的报告。

微软发言人表示,微软并不认为这是一个安全漏洞。他说明Secunia所描述的现象是IE允许一个网站开启或重新利用一个弹出式视窗,但在IE 7.0中,弹出式视窗的网址是可见的,这可让使用者正确地进行判断。

Thomas Kristensen则批评,这让使用者必须费心检视网址列是否可信。

Secunia自IE 7.0发表以来已揭露该最新浏览器的三个漏洞,第一个漏洞被称为「跨网域资讯揭露漏洞」(cross-domain information-disclosure),不过微软旋即声称该漏洞是存在于Outlook Express中,与IE无关,第二个漏洞也与跳出式视窗有关,当时微软说明,该问题是隐藏在网站位址于IE 7.0网址列中显示的方法,这使得骇客能够诱导使用者点选一个特定格式的连结。这两个漏洞皆被Secunia列为较不严重等级,微软则考虑针对Secunia公布的第二个漏洞发表修补程式。(编译/陈晓莉)

来源:http://www.ithome.com.tw/it...php?c=40215

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富




大台北地区有需电脑外派维修请至以下网站与小弟我联系,价格公道实惠。
http://life-fact...v.tw/
献花 x1 回到顶端 [楼 主] From:台湾台湾固网 | Posted:2006-11-02 12:43 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.088539 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言