减小字体
增大字体- ·上一篇文章:微软将 IE7 for Windows XP 移出WSUS
- ·下一篇文章:18家电脑厂商明年1月中国推Vista 备战寒假促销
IE 7有缺陷 黑客可窃取用户帐号
IE 7存在一个缺陷,黑客可能利用该缺陷窃取用户的密码。
该缺陷被其发现者罗伯特称作是“逆向跨站点请求”(RCSR),它使黑客能够通过显示一个虚假的登录表单而窃取用户的帐户名和密码。数据会在用户不知情的情况下被发送给黑客的计算机。
据罗伯特称,利用该缺陷的代码已经出现在社交网站MySpace.com 上,它会影响所有使用能够添加用户生成的HTML代码的博客或论坛的用户。
他说,IE用户必须意识到,当访问可信赖的博客或论坛网站时,他们的资料可能会在不知不觉之间被窃取。
据在MySpace 上发现该利用代码的安全公司Netcraft称,由于虚假的网页不会显示出任何外部内容的蛛丝马迹,因此,即使是最有安全意识的用户也可能上当受骗。
攻击是由一个档案网页发动的,它利用特别设计的HTML隐藏真实的MySpace 内容,而显示它自己的登录表单。
罗伯特表示,RCSR攻击成功的机率要大于跨站点脚本(XSS )攻击,因为在用户提交表单前,IE不会检查表单数据的目的地。由于攻击是在可信赖的站点上发生的,浏览器也不会报警。
截止记者发稿时,Microsoft还没有发布补丁软件。安全厂商Secunia 已经建议用户关闭“保存站点密码”选项。
要利用该缺陷,黑客必须在一个可信赖的网站上创建一个虚假的登录表单。网站管理员必须检查服务器代码中是否感染有XSS 和RCSR代码。
该缺陷被其发现者罗伯特称作是“逆向跨站点请求”(RCSR),它使黑客能够通过显示一个虚假的登录表单而窃取用户的帐户名和密码。数据会在用户不知情的情况下被发送给黑客的计算机。
据罗伯特称,利用该缺陷的代码已经出现在社交网站MySpace.com 上,它会影响所有使用能够添加用户生成的HTML代码的博客或论坛的用户。
他说,IE用户必须意识到,当访问可信赖的博客或论坛网站时,他们的资料可能会在不知不觉之间被窃取。
据在MySpace 上发现该利用代码的安全公司Netcraft称,由于虚假的网页不会显示出任何外部内容的蛛丝马迹,因此,即使是最有安全意识的用户也可能上当受骗。
攻击是由一个档案网页发动的,它利用特别设计的HTML隐藏真实的MySpace 内容,而显示它自己的登录表单。
罗伯特表示,RCSR攻击成功的机率要大于跨站点脚本(XSS )攻击,因为在用户提交表单前,IE不会检查表单数据的目的地。由于攻击是在可信赖的站点上发生的,浏览器也不会报警。
截止记者发稿时,Microsoft还没有发布补丁软件。安全厂商Secunia 已经建议用户关闭“保存站点密码”选项。
要利用该缺陷,黑客必须在一个可信赖的网站上创建一个虚假的登录表单。网站管理员必须检查服务器代码中是否感染有XSS 和RCSR代码。
