IE7地址顯示缺陷 黑客借此隱藏其攻擊意圖
發布日期: 2006-10-30 稿件來源:網絡 發布:信息中心 閱讀次數:4729 次
據外電報道,本周三,安全廠商Secunia 表示,IE 7允許一個網站顯示包含有虛假Web 地址的彈出式窗口。Secunia 在一份安全公告中表示,黑客可以利用這一缺陷誘騙人們相信他們在訪問一個可靠的網站,而實際上他們在訪問一個惡意網頁。微軟公司此次推出的IE 7瀏覽器,聲稱對以前的版本進行了徹頭徹尾的修改,尤其是在用戶界面和系統安全上,它的一個賣點就是打擊釣魚式欺詐攻擊。
Secunia 開發了一個演示攻擊,在彈出式窗口的地址欄中顯示的是微軟的Web 地址,但顯示的卻是來自Secunia 的內容。
微軟的一名代表在一份電子郵件聲明中說,問題在于IE 7地址欄顯示Web 地址的方式。這名代表表示,黑客可以通過誘騙用戶點擊一個特殊格式的鏈接來利用這一缺陷。
微軟表示,彈出式窗口不顯示完整的Web 地址。它說,在瀏覽器窗口內或地址欄上點擊鼠標,或滾動窗口,就會顯示完整的URL。
如果一個網站被認為是釣魚式欺詐攻擊的一部分,攻擊的陰謀就不會得逞。IE 7的反釣魚技術會識別出這樣的站點,并向用戶報警。微軟稱,它沒有接到利用該缺陷發動攻擊的報告。
IE 7是5 年來微軟首次對IE進行重大升級,而安全是它的第一號任務。打擊釣魚式欺詐攻擊一直是微軟的一個重點。
這一缺陷被Secunia 認為“不太危急”,但卻是IE 7中被公開披露的第一個缺陷。微軟表示,它已經在調查這一問題,可能會發布補丁軟件修正該缺陷。