据赛迪网12月18日报导,Secunia表示,这一IE漏洞是由DHTML Edit ActiveX控件中的“跨站点脚本漏洞(cross-site scripting)”产生的,由于该漏洞存在于IE浏览器本身,因此它可以被用来攻击任何网站。
根据Secunia公布的漏洞细节,所有的IE浏览器都存在这一漏洞,包括目前被认为最安全的Windows XP SP2中的IE版本。利用这一漏洞,黑客可以制造虚假的网址和SSL签名,从而得以伪造任何网站的内容。
Secunia首席技术长汤马斯.克里斯腾森(Thomas Kristensen)表示,该IE漏洞危险性极高,因为在使用跨网站脚本时,网站的网址及SSL签名显示均是合法的,用户不会发现任何异常现象,而事实上是恶意脚本控制的结果。
Kristensen说,黑客可以通过恶意站点来控制地址框中所显示的URL链接,因此用户根本无法察觉是否遭到攻击。用户只要点击黑客所提供的链接,那么浏览器就会自动打开。而且,用户只能短暂地看到恶意站点的URL链接,此后显示的便是虚假的合法站点链接。
目前,微软公司发言人尚未对此发表任何评论。此前,微软曾经多次因安全公司公布漏洞之前没有首先通知该公司而表示不满。
短网址: 版权所有,任何形式转载需本站授权许可。 严禁建立镜像网站.
【诚征荣誉会员】溪流能够汇成大海,小善可以成就大爱。我们向全球华人诚意征集万名荣誉会员:每位荣誉会员每年只需支付一份订阅费用,成为《看中国》网站的荣誉会员,就可以助力我们突破审查与封锁,向至少10000位中国大陆同胞奉上独立真实的关键资讯,在危难时刻向他们发出预警,救他们于大瘟疫与其它社会危难之中。
