作者:肖北
【赛迪网讯】12月21日港台媒体消息,外传Internet Explorer浏览器又发现安全漏洞,可能让用户暴露于网络钓鱼攻击的危险中,连安装最安全版Windows的用户也难幸免。
针对安全公司Secunia指出,IE6的这项漏洞可让网络骗子发动网络钓鱼攻击,受影响的Windows版本包括最新安全更新版Service Pack 2及更早的版本,微软公司17日表示已着手调查此事。
网络钓鱼攻击通常利用仿冒网站,诱骗使用者以为真的进入了银行或其他的正宗网站,进而交出包含信用卡号等个人资料。根据Secunia发布的报告,IE浏览器的漏洞容许诈欺者制作一个难以察觉的仿冒网站,逼真程度甚至包含伪造的SSL数字签章。网络钓鱼黑客还把正牌网站的cookies挟持过来。
Secunia技术长Thomas Kristensen说,问题是,使用者在浏览器里亲眼所见的,却不能信以为真。这可能诱骗使用者在他们以为可信赖的网站上执行一些动作,但那些动作都遭到恶意网站记录和控制。对使用者而言,后果可能很严重,但Secunia只把此漏洞评为“略为紧要”,因为此漏洞无法被用来存取计算机网络。
对标榜SP2朝加强安全维护迈出一大步的微软而言,此消息又是一记挫败打击。微软发言人表示会积极调查此漏洞,并强调尚未传出使用者因此漏洞遭到攻击的消息,同时鼓励用户遵照“保护你的PC”指导方针安装防火墙、更新程序和安装防毒软件。该发言人说,调查完毕后,微软会采取适当行动保护用户,可能包括在每月发布更新的过程中提供修补程序,也可能另外提供安全更新。
Secunia在报告中指出,新漏洞出在IE6的DHTML Edit ActiveX控制器,一旦在某些状况下处理execScript的功能,就可能遭有心人士利用浏览器执行恶意程序代码,可能让网络钓鱼黑客发送附有仿冒网站链接的电子邮件。恶意网站的URL地址可能昙花一现,紧接着就把使用者带到被仿冒的网站。
Kristensen说,某些传入ActiveX控制器的资料未经妥善确认,就回传至浏览器,这可能遭人用来植入程序代码,以控制在浏览器窗口里显示的画面,同时浏览器以为它真的到访受信赖的网站。
Secunia已公告此漏洞如何运作的范例,并建议使用者在修补程序发布之前,最好先关闭ActiveX支持功能。(n106)
