廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 35012 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
kesnck 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x9 鮮花 x101
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
資安公司再爆:IE 7.0有舊版漏洞
2004年12月IE 6.0中就出現過視窗注射(window injection)漏洞,現在該漏洞仍存在於IE 6.0中,當時微軟建議使用者關閉「跨網域瀏覽子架構」的功能,不過並未提供修補程式。



丹麥的資安業者Secunia於周一(10/30)再度警告微軟最新瀏覽器IE 7.0藏有安全漏洞,這是Secunia自IE 7.0在兩周前發表以來所揭露的第三個IE 7.0漏洞。

Secunia技術長Thomas Kristensen指出,當使用者先造訪一個由駭客建置的網站,之後再連到一個像是銀行或電子商務等擁有彈出式視窗(pop-up)的可信任的網站,駭客可以在該彈出視窗放置任意內容,例如詢問使用者財務資訊或帳號等。

被稱為視窗注射(window injection)的這個IE漏洞,問題在於一個網站可以在其他網站上加註內容。Secunia說,2004年12月IE 6.0中就出現過這個漏洞,現在該漏洞仍存在於IE 6.0中,當時微軟建議使用者關閉「跨網域瀏覽子架構」(Navigate sub-frames across different domains)的功能,不過並未提供修補程式。

當視窗注射漏洞第一次在IE 6.0中現身時,Secunia也建議使用者不要在瀏覽可信任網站時同時開啟不信任的網站。

Thomas Kristensen說,雖然微軟在IE 7.0的預設值是關閉跨網域瀏覽子架構功能,但仍無法避免駭客的攻擊。Secunia將此漏洞列為中度危險(moderately critical)等級,並說尚未接獲有任何網站嘗試利用此漏洞的報告。

微軟發言人表示,微軟並不認為這是一個安全漏洞。他說明Secunia所描述的現象是IE允許一個網站開啟或重新利用一個彈出式視窗,但在IE 7.0中,彈出式視窗的網址是可見的,這可讓使用者正確地進行判斷。

Thomas Kristensen則批評,這讓使用者必須費心檢視網址列是否可信。

Secunia自IE 7.0發表以來已揭露該最新瀏覽器的三個漏洞,第一個漏洞被稱為「跨網域資訊揭露漏洞」(cross-domain information-disclosure),不過微軟旋即聲稱該漏洞是存在於Outlook Express中,與IE無關,第二個漏洞也與跳出式視窗有關,當時微軟說明,該問題是隱藏在網站位址於IE 7.0網址列中顯示的方法,這使得駭客能夠誘導使用者點選一個特定格式的連結。這兩個漏洞皆被Secunia列為較不嚴重等級,微軟則考慮針對Secunia公布的第二個漏洞發表修補程式。(編譯/陳曉莉)

來源:http://www.ithome.com.tw/it...php?c=40215

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富




大台北地區有需電腦外派維修請至以下網站與小弟我聯繫,價格公道實惠。
http://life-fact...v.tw/
獻花 x1 回到頂端 [樓 主] From:台灣台灣固網 | Posted:2006-11-02 12:43 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.050479 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言