IE7新漏洞可導(dǎo)致用戶輕易掉入網(wǎng)絡(luò)詐騙陷阱
發(fā)布時(shí)間：2007-03-15 點(diǎn)擊次數(shù)：

【賽迪網(wǎng)訊】3月15日消息，一位安全研究員周三報(bào)告稱，微軟IE瀏覽器上存在的一個(gè)漏洞有可能輕易讓用戶掉入網(wǎng)絡(luò)詐騙陷阱。

據(jù)IDG新聞社報(bào)道，據(jù)以色列安全研究員Aviv Raff稱，該漏洞存在于IE7處理存儲(chǔ)于本地的HTML出錯(cuò)信息頁(yè)面的方式上。通常情況下，當(dāng)用戶取消登陸一個(gè)網(wǎng)頁(yè)時(shí)，該出錯(cuò)信息就會(huì)出現(xiàn)。

出錯(cuò)信息告訴用戶，“與該網(wǎng)頁(yè)的連接已被取消”，同時(shí)它還會(huì)提供一個(gè)“刷新頁(yè)面”的機(jī)會(huì)。如果點(diǎn)擊了刷新連接，IE可以會(huì)受到欺騙，顯示一個(gè)錯(cuò)誤的網(wǎng)頁(yè)地址。Raff公布的概念性代碼展示了IE如何被利用來(lái)顯示他的網(wǎng)站上的一個(gè)頁(yè)面，而該頁(yè)面看上去會(huì)讓人誤以為來(lái)自cnn.com。

Raff說(shuō)，這個(gè)漏洞可能會(huì)被那些試圖讓自己的欺騙性網(wǎng)站看上去更合法的網(wǎng)絡(luò)釣魚(yú)者所利用。

“我可以在該頁(yè)面上注入一個(gè)腳本，當(dāng)用戶點(diǎn)擊‘刷新’時(shí)，它可以顯示我想要的任何內(nèi)容?！彼f(shuō)?！皩⑦@個(gè)與設(shè)計(jì)漏洞相結(jié)合，瀏覽器的地址欄就可以顯示出攻擊者想要的任何URL，并顯示出他想要的任何結(jié)果?！?

這種類型的缺陷通常被稱為跨網(wǎng)站腳本漏洞。Raff 說(shuō)，它影響到Vista和XP上運(yùn)行的IE 7。

微軟沒(méi)有立即證實(shí)Raff的這個(gè)發(fā)現(xiàn)，但該公司發(fā)布了一個(gè)聲明稱，微軟正在對(duì)這個(gè)問(wèn)題進(jìn)行調(diào)查，目前尚未發(fā)現(xiàn)有相關(guān)攻擊事件發(fā)生。