以色列安全研究员Matan Gillon近日发现,IE浏览器在处理CSS时存在缺陷,会导致Google Desktop桌面搜索工具用户的私人信息被窃取。
以色列安全研究员Matan Gillon近日发现,IE浏览器在处理 CSS时存在缺陷,会导致Google Desktop桌面搜索工具用户的私人信息被窃取。
Gillon 使用概念证明型方法演示了如何利用这一安全缺陷。他说: “IE的这一设计缺陷可使得攻击者获取用户私人数据或冒充用 户身份进行远程域操作。”
Gillon设计了一个网页, 安装Google Desktop的用户在使用IE浏览该网页时,利用该搜索工具即可得 到以“password”为关键词反馈的结果。Gillon认为可能会有 数以千计的网页遭到利用,而且目前还没有解决方法。
{ad}微软和Google都表示正在对该问题进行调查。微软还 表示,目前尚不清楚利用该缺陷的恶意代码是否已经出现,但 正在关注事态的进展。
安全研究员Tom Ferris说:“这个缺陷和IE的其它缺陷没有什么不同,但启动 Google Desktop并获取数据这种行为非常具有创新性。我相信它能窃取 用户的Quicken数据和数据库文件等。”
eEye数字安全 公司产品经理Steve Manzuik对此表示赞同,并称:“这显然是IE的缺陷,与Google Desktop无关。攻击者可以利用Google Desktop偷窃数据,但这显然是IE造成的。”
Gillon还 发现,Firefox和Opera等浏览器不受影响,用户可以使用这些 非IE内核浏览器作为替换或者屏蔽IE中的JavaScript。
近来Windows和IE不断曝出新漏洞,而且多数都是高危 级别,攻击代码也频频出现,看来下周二的安全补丁日一定会 非常“热闹”了。
网友评论