过期域名预定抢注

 找回密碼
 免费注册

IE6現安全漏洞 仿冒網站可發動網絡釣魚詐

[複製鏈接]
發表於 2004-12-22 20:33:39 | 顯示全部樓層 |閱讀模式
http://it.sohu.com/20041221/n223575438.shtml
, x9 u% f* A7 w' u, R4 v" G1 ?2 n8 s& ?- m- F
# n2 x5 L2 T/ m

  N" h) ^& {, c【賽迪網訊】12月21***港台媒體消息,外傳InternetExplorer瀏覽器又發現安全漏洞,可能讓用戶暴露於網絡釣魚攻擊的危險中,連安裝最安全版Windows的用戶也難倖免。
1 ]' o6 p+ j2 u  }2 ]1 X; w( f
% a7 b- u6 ]& F4 I) n0 F, {
2 z7 X- P; d' S9 }8 y/ q. P' H3 `; i2 u3 w
  針對安全公司Secunia指出,IE6的這項漏洞可讓網絡騙子發動網絡釣魚攻擊,受影響的Windows版本包括最新安全更新版ServicePack2及更早的版本,微軟公司17***表示已著手調查此事。7 T) m& ?( G0 M

2 d0 w# d, Y- r0 Q
" F8 B4 s6 A# G+ T4 l4 o6 W2 W) C# N; P* X9 F& ~2 V+ d
8 v' y7 n! z- U& n( J% ~9 @- D. f2 _: v
  網絡釣魚攻擊通常利用仿冒網站,誘騙使用者以為真的進入了銀行或其他的正宗網站,進而交出包含信用卡號等個人資料。根據Secunia發佈的報告,IE瀏覽器的漏洞容許詐欺者製作一個難以察覺的仿冒網站,***真程度甚至包含偽造的SSL數字簽章。網絡釣魚黑客還把正牌網站的cookies挾持過來。& Y5 h/ M, {) L7 S' `
7 D  F, Y' F1 ?1 ]$ y
$ V# x3 q0 t9 \2 P
( |$ H1 P; [$ I: T$ N! \5 c7 }8 t2 M
  Secunia技術長ThomasKristensen說,問題是,使用者在瀏覽器裡親眼所見的,卻不能信以為真。這可能誘騙使用者在他們以為可信賴的網站上執行一些動作,但那些動作都遭到惡意網站記錄和控制。對使用者而言,後果可能很嚴重,但Secunia只把此漏洞評為「略為緊要」,因為此漏洞無法被用來存取計算機網絡。
, D" \2 g% x, Z5 ?+ M  s  ^0 G. t9 O0 a
/ I9 O. A3 Q) R+ Q: j! _5 y7 M

* e1 _1 Y; b+ E. O  對標榜SP2朝加強安全維護邁出一大步的微軟而言,此消息又是一記挫敗打擊。微軟發言人表示會積極調查此漏洞,並強調尚未傳出使用者因此漏洞遭到攻擊的消息,同時鼓勵用戶遵照「保護你的PC」指導方針安裝防火牆、更新程序和安裝防毒軟件。該發言人說,調查完畢後,微軟會採取適當行動保護用戶,可能包括在每月發佈更新的過程中提供修補程序,也可能另外提供安全更新。% y& |. ^) @$ A$ s7 G$ w; I: t( r
$ ]6 x1 i5 }, \8 b+ d' l, }
1 j+ o  x& L/ W4 s0 [/ A% a
/ T2 x: Q* `2 d- m/ C! K
  Secunia在報告中指出,新漏洞出在IE6的DHTMLEditActiveX控制器,一旦在某些狀況下處理exect的功能,就可能遭有心人士利用瀏覽器執行惡意程序代碼,可能讓網絡釣魚黑客發送附有仿冒網站鏈接的電子郵件。惡意網站的URL地址可能曇花一現,緊接著就把使用者帶到被仿冒的網站。/ Z3 ~: Q+ }4 R) c

/ w8 q4 _1 F* o/ f7 J$ a8 F$ p9 x% S8 N( T% [
- ~4 }! w: V! W7 R. i% y& g
  Kristensen說,某些傳入ActiveX控制器的資料未經妥善確認,就回傳至瀏覽器,這可能遭人用來植入程序代碼,以控制在瀏覽器窗口裡顯示的畫面,同時瀏覽器以為它真的到訪受信賴的網站。5 V: @5 J+ o$ f0 l" M4 N8 ]& L

8 q1 J" [) @$ T, I5 B
5 ]4 C) B! f% T
* S. n+ J; i, e. R% ?2 {5 r  Secunia已公告此漏洞如何運作的範例,並建議使用者在修補程序發佈之前,最好先關閉ActiveX支持功能。
您需要登錄後才可以回帖 登錄 | 免费注册

本版積分規則

过期高净值品牌域名预定抢注

4um點基跨境網編創業社區

GMT+8, 2024-10-31 09:29

By DZ X3.5

小黑屋

快速回復 返回頂部 返回列表