腾讯科技2007年3月15日讯 一位安全研究人员3月14日报告称,微软IE浏览器中的一个安全漏洞能够帮助诈骗分子制作貌似合法的钓鱼攻击网站。
一位以色列的安全研究人员Aviv Raff说,这个安全漏洞存在于IE 7浏览器处理本地存储的HTML错误信息页的过程中。当用户取消装载一个网页的时候,一般会显示这个错误信息页。
这个错误信息告诉用户“向这个网页的导航已经取消了”并且向用户提供“刷新这个网页”的机会。如果点击刷新的链接,IE浏览器就会显示一个网页的错误地址。Raff发表了一个概念证明代码,显示了如何让IE浏览器在他的网站上显示好像是来自cnn.com域名的一个网页。
Raff说,钓鱼攻击者可以利用这个安全漏洞使他们的欺骗性的网站看起来像合法的网站一样。他说,我可以注入一个脚本,当用户点击刷新的链接时,让它显示我让它显示的任何东西。把这个漏洞与设计安全漏洞结合在一起,攻击者就能够让浏览器的地址栏显示他要显示的任何地址。
Raff补充说,这是一种称作交叉网站脚本安全漏洞的软件瑕疵。这个安全漏洞影响到在Vista和Windows XP操作系统上运行的IE 7浏览器。
微软没有立即证实Raff的发现。但是,微软发表一个声明称它正在对这个问题展开调查。微软称它现在还不知道有任何攻击试图利用这个安全漏洞,也不知道用户现在是否受到了这个安全漏洞的影响。
