http://it.sohu.com/20041221/n223575438.shtml
4 w ~+ s: R7 x% c/ `# M3 P% o0 u6 a, @" f6 V7 n" a( N
H" B5 b, L6 v3 f" f/ N
* e4 `! N8 I% v; G& z
【賽迪網訊】12月21***港台媒體消息,外傳InternetExplorer瀏覽器又發現安全漏洞,可能讓用戶暴露於網絡釣魚攻擊的危險中,連安裝最安全版Windows的用戶也難倖免。2 N( c; |3 X% P4 H
+ N( f+ N% r- I( `" K' R" a% h' o( Z
9 t: N# @8 k9 ]( s% O
針對安全公司Secunia指出,IE6的這項漏洞可讓網絡騙子發動網絡釣魚攻擊,受影響的Windows版本包括最新安全更新版ServicePack2及更早的版本,微軟公司17***表示已著手調查此事。0 H7 U# g0 W) U( e+ Q: F/ Y! E
: z, N$ |: A1 W% j; e p5 ^
! Q% {8 k: h) n3 f4 v6 P; h
* Y- v" N1 ^- Q( J3 V2 m 1 x: `& g+ V3 x
網絡釣魚攻擊通常利用仿冒網站,誘騙使用者以為真的進入了銀行或其他的正宗網站,進而交出包含信用卡號等個人資料。根據Secunia發佈的報告,IE瀏覽器的漏洞容許詐欺者製作一個難以察覺的仿冒網站,***真程度甚至包含偽造的SSL數字簽章。網絡釣魚黑客還把正牌網站的cookies挾持過來。
' ?+ I$ s3 F9 C7 a: g% x, f* p8 [" w8 n
+ ]4 r3 D' [8 l- G) C( u) |+ Z0 c
% I; f" s# [. f1 V3 h+ D N5 C Secunia技術長ThomasKristensen說,問題是,使用者在瀏覽器裡親眼所見的,卻不能信以為真。這可能誘騙使用者在他們以為可信賴的網站上執行一些動作,但那些動作都遭到惡意網站記錄和控制。對使用者而言,後果可能很嚴重,但Secunia只把此漏洞評為「略為緊要」,因為此漏洞無法被用來存取計算機網絡。
! f+ A- q' L c* M1 g1 F6 v
$ _" c, ?# H! ^9 K: o- _/ H6 g* Z h8 l Q3 \: }4 G0 h- O
7 z, U* n7 A A! ]* }! K- \2 L
對標榜SP2朝加強安全維護邁出一大步的微軟而言,此消息又是一記挫敗打擊。微軟發言人表示會積極調查此漏洞,並強調尚未傳出使用者因此漏洞遭到攻擊的消息,同時鼓勵用戶遵照「保護你的PC」指導方針安裝防火牆、更新程序和安裝防毒軟件。該發言人說,調查完畢後,微軟會採取適當行動保護用戶,可能包括在每月發佈更新的過程中提供修補程序,也可能另外提供安全更新。
. y) s# g: }! P* C5 h! y
+ f4 W. t6 a" }8 s5 f. J" ?7 u o5 g0 W- V5 s
- l7 ~" L# v0 R% O% ?$ z3 [5 k
Secunia在報告中指出,新漏洞出在IE6的DHTMLEditActiveX控制器,一旦在某些狀況下處理exect的功能,就可能遭有心人士利用瀏覽器執行惡意程序代碼,可能讓網絡釣魚黑客發送附有仿冒網站鏈接的電子郵件。惡意網站的URL地址可能曇花一現,緊接著就把使用者帶到被仿冒的網站。
2 T( A4 _5 [' w5 L1 R
4 j9 ], @' x( g. ~- I: G5 g9 |& {; O0 M: v! d/ ~* ~* o( c& i
@- o9 j; m2 _+ {2 X4 Y9 F1 O+ N Kristensen說,某些傳入ActiveX控制器的資料未經妥善確認,就回傳至瀏覽器,這可能遭人用來植入程序代碼,以控制在瀏覽器窗口裡顯示的畫面,同時瀏覽器以為它真的到訪受信賴的網站。6 U. l1 k" O. h4 y
- v! @( l6 X. z1 |7 u
, c( d! l) G+ o3 R3 p" s5 t3 o: j
+ p$ i% `3 N; m, s. n. n& M
Secunia已公告此漏洞如何運作的範例,並建議使用者在修補程序發佈之前,最好先關閉ActiveX支持功能。 |
|
發表於 2004-12-22 20:33:39
提升卡
沉默卡
变色卡