http://it.sohu.com/20041221/n223575438.shtml8 J; U& w: _' p# q$ W9 S
4 S2 L- v9 ^9 }! ]
! ]$ U& U" f/ `2 L
0 ?$ s6 `+ @1 B* B. _! v$ p9 c+ x【賽迪網訊】12月21***港台媒體消息,外傳InternetExplorer瀏覽器又發現安全漏洞,可能讓用戶暴露於網絡釣魚攻擊的危險中,連安裝最安全版Windows的用戶也難倖免。
_* E- n# D8 Z$ z# ^" n! c& ~) A) m) F
; E3 A1 |% e' A5 Y
. }: T# J8 Z% |4 J- F* H6 J, F 針對安全公司Secunia指出,IE6的這項漏洞可讓網絡騙子發動網絡釣魚攻擊,受影響的Windows版本包括最新安全更新版ServicePack2及更早的版本,微軟公司17***表示已著手調查此事。8 e: Q2 |% n% C
7 O& y. O: I' ~% K5 C
- X+ i C5 n+ \6 U9 z
. R9 ~! j# d, O8 V9 Z2 C# Q0 E4 @
# t3 P$ R; N" p$ ? 網絡釣魚攻擊通常利用仿冒網站,誘騙使用者以為真的進入了銀行或其他的正宗網站,進而交出包含信用卡號等個人資料。根據Secunia發佈的報告,IE瀏覽器的漏洞容許詐欺者製作一個難以察覺的仿冒網站,***真程度甚至包含偽造的SSL數字簽章。網絡釣魚黑客還把正牌網站的cookies挾持過來。
4 N2 g: p# N. K2 V: W T8 E; l" G% B) l$ S
' l- s& `9 h. ]$ ^! b6 M. i- e
- W3 u5 V) c/ W" t5 h/ N Secunia技術長ThomasKristensen說,問題是,使用者在瀏覽器裡親眼所見的,卻不能信以為真。這可能誘騙使用者在他們以為可信賴的網站上執行一些動作,但那些動作都遭到惡意網站記錄和控制。對使用者而言,後果可能很嚴重,但Secunia只把此漏洞評為「略為緊要」,因為此漏洞無法被用來存取計算機網絡。
7 w& I7 q F) H5 Q4 C5 _, x+ ]1 B: o0 [
2 o& ^2 r5 A& y# U' }; X4 V
) b% j9 g5 h# w 對標榜SP2朝加強安全維護邁出一大步的微軟而言,此消息又是一記挫敗打擊。微軟發言人表示會積極調查此漏洞,並強調尚未傳出使用者因此漏洞遭到攻擊的消息,同時鼓勵用戶遵照「保護你的PC」指導方針安裝防火牆、更新程序和安裝防毒軟件。該發言人說,調查完畢後,微軟會採取適當行動保護用戶,可能包括在每月發佈更新的過程中提供修補程序,也可能另外提供安全更新。
7 V& I8 h4 j6 R% ]0 S5 l) n4 k. i& x' u( z: L5 G+ p
$ e6 B! B; t% Z! m7 K
! n5 T" S8 u" X2 v' V; k1 H9 _- ^ Secunia在報告中指出,新漏洞出在IE6的DHTMLEditActiveX控制器,一旦在某些狀況下處理exect的功能,就可能遭有心人士利用瀏覽器執行惡意程序代碼,可能讓網絡釣魚黑客發送附有仿冒網站鏈接的電子郵件。惡意網站的URL地址可能曇花一現,緊接著就把使用者帶到被仿冒的網站。
4 f: \8 g/ R0 M/ K# a1 X9 z4 O b! p% ?4 u0 c% i
~- ]3 x3 T3 n, ?0 I
' W# @4 n6 f/ h4 V6 F6 |& d Kristensen說,某些傳入ActiveX控制器的資料未經妥善確認,就回傳至瀏覽器,這可能遭人用來植入程序代碼,以控制在瀏覽器窗口裡顯示的畫面,同時瀏覽器以為它真的到訪受信賴的網站。
! H- |5 o3 x5 U- x& a
: l, O) s+ O4 D; I4 t) v. A3 t. F8 ]; J( q5 v5 X! v0 H
5 t: e# ~- a8 m Secunia已公告此漏洞如何運作的範例,並建議使用者在修補程序發佈之前,最好先關閉ActiveX支持功能。 |
|
發表於 2004-12-22 20:33:39
提升卡
沉默卡
变色卡