国外一家安全咨询机构称,原先在微软IE6.0上出现的一个安全漏洞也出现在了刚发布的IE7.0上。发出警告称,网络黑客有可能会从毫无防备的IE7.0用户那里诱使出登录名和密码,而在两年前安全专家对于IE6.0也发出过类似的警告。
国外一家安全咨询机构称,原先在微软IE6.0上出现的一个安全漏洞也出现在了刚发布的IE7.0上。发出警告称,网络黑客有可能会从毫无防备的IE7.0用户那里诱使出登录名和密码,而在两年前安全专家对于IE6.0也发出过类似的警告。
该机构透露,如果一个用户访问了黑客设下了圈套的网站,如打开一个带有弹出窗口的 “受信任”网站,如网上银行或电子商务网站,黑客有可能会在弹出窗口中加入新的内容,从而要求用户透露财务信息或密码。
当2004年6月发现这一问题时,微软为IE6.0用户提供了防范指导,即通过禁用“Navigate sub-frames across different domains”的方式加以解决,尽管这一设置在IE7.0上是默认禁用的,但看起来不能躲过攻击。
用户在发现IE7.0会遭受这一漏洞攻击后,向该公司提交了安全防范报告,Secunia及时通知了微软,但微软在周一没有作出回应。
这一漏洞被列为“适度危险级”,但K微软没有意识到黑客会利用这一漏洞进行网络攻击。有经验的用户会意识到他正处于攻击之中,因为弹出窗口的URL是可以看到的,通过它可以确定是否有对密码信息的诱骗请求,但这需要用户花点心思注意地址栏的显示情况。
10月18日IE7.0正式发布后,就发现了一个和IE6.0一样的漏洞。这个漏洞在于如果用户打开了一个恶意网站,黑客有可能从该用户同时打开的安全网站上读取信息。
网友评论