http://it.sohu.com/20041221/n223575438.shtml
& K1 R* Y; s$ x+ X
* C8 [) x/ o/ [) Y
; |: |5 C, r, I# ~- y1 @ R; z
+ J6 [& N- Q3 l【賽迪網訊】12月21***港台媒體消息,外傳InternetExplorer瀏覽器又發現安全漏洞,可能讓用戶暴露於網絡釣魚攻擊的危險中,連安裝最安全版Windows的用戶也難倖免。
8 n0 [- {/ p2 ~& z, k% T
' ^, S! `/ F+ O- J8 _6 a
4 x, G( f' ^/ Z' Z8 I5 f" e' Q/ }2 B4 V) b V/ L' q1 y8 a
針對安全公司Secunia指出,IE6的這項漏洞可讓網絡騙子發動網絡釣魚攻擊,受影響的Windows版本包括最新安全更新版ServicePack2及更早的版本,微軟公司17***表示已著手調查此事。) {% d2 ]- f' N9 t; s5 M
6 Z+ I' B, J a T3 i7 x
( d0 o( w- R& M" M! _; {
# W% q6 n; j9 L/ R- L) P5 Y" L: `
- g# V9 O( a1 x5 U( \7 K
網絡釣魚攻擊通常利用仿冒網站,誘騙使用者以為真的進入了銀行或其他的正宗網站,進而交出包含信用卡號等個人資料。根據Secunia發佈的報告,IE瀏覽器的漏洞容許詐欺者製作一個難以察覺的仿冒網站,***真程度甚至包含偽造的SSL數字簽章。網絡釣魚黑客還把正牌網站的cookies挾持過來。
8 D& o% Z: L R/ Y4 K' G- r6 ^) I4 D+ K1 {
4 }- w5 W5 A# B- m
0 }" {* Q" N" L8 m2 R/ N! j# U
Secunia技術長ThomasKristensen說,問題是,使用者在瀏覽器裡親眼所見的,卻不能信以為真。這可能誘騙使用者在他們以為可信賴的網站上執行一些動作,但那些動作都遭到惡意網站記錄和控制。對使用者而言,後果可能很嚴重,但Secunia只把此漏洞評為「略為緊要」,因為此漏洞無法被用來存取計算機網絡。
: g4 V( ?9 @: o7 k/ l. E, V3 _# D7 K; |/ t; N5 E i
4 }5 f1 ^/ F+ N m* y
# F) V# c! Z0 l% M: x 對標榜SP2朝加強安全維護邁出一大步的微軟而言,此消息又是一記挫敗打擊。微軟發言人表示會積極調查此漏洞,並強調尚未傳出使用者因此漏洞遭到攻擊的消息,同時鼓勵用戶遵照「保護你的PC」指導方針安裝防火牆、更新程序和安裝防毒軟件。該發言人說,調查完畢後,微軟會採取適當行動保護用戶,可能包括在每月發佈更新的過程中提供修補程序,也可能另外提供安全更新。
" e7 S' a1 l; p( u. |' T( q+ @* m: Z) Z" f& `4 Y3 t9 \
5 \/ v4 \; ]* p& b/ p; N
$ k5 n k( p1 V
Secunia在報告中指出,新漏洞出在IE6的DHTMLEditActiveX控制器,一旦在某些狀況下處理exect的功能,就可能遭有心人士利用瀏覽器執行惡意程序代碼,可能讓網絡釣魚黑客發送附有仿冒網站鏈接的電子郵件。惡意網站的URL地址可能曇花一現,緊接著就把使用者帶到被仿冒的網站。9 m3 z) |* u* w9 R
! y Z3 m1 E4 p M8 Z' B5 a. k2 B
. |' D y0 w8 r9 I; A1 i
( e# n6 G, F' P* B7 A Kristensen說,某些傳入ActiveX控制器的資料未經妥善確認,就回傳至瀏覽器,這可能遭人用來植入程序代碼,以控制在瀏覽器窗口裡顯示的畫面,同時瀏覽器以為它真的到訪受信賴的網站。
0 d( ?' H' F2 }+ Y' P1 i% U- p7 w$ p& y1 ]) o% n4 ]/ S
3 {- Y1 N7 ^* O3 z3 {2 B$ K' T8 _! _$ n
Secunia已公告此漏洞如何運作的範例,並建議使用者在修補程序發佈之前,最好先關閉ActiveX支持功能。 |
|
發表於 2004-12-22 20:33:39
提升卡
沉默卡
变色卡