趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:日前,微软公司发现了Internet Explorer补丁里存在的XSS漏洞,漏洞能使他人窃取用户的登陆凭证,并且在用户的浏览进程中注入恶意内容。微软工程师正在全力修复此漏洞。
西安一女生称应聘总助被要求陪睡
网友:怪不得经济这么不景气还有那么多人想当老板。
特朗普赢得2024美国大选
网友:第一章:回宫。
男孩被老师拎到讲台狂扇20多巴掌
网友:怎么这么多代课老师,主科都是代课老师,学校的正式编制是都给校领导用了吗。
男子疑被误当成猎物遭枪击身亡
网友:看到枪击还以为国外呢。
官方回应济宁一女孩商场内坠亡
网友:商场是有责任,可一般人谁去坐电动扶梯上面啊?
劳斯莱斯女车主不要货车司机赔偿
网友:凭什么有钱人就要自己承担?谁的钱不是自己赚来的?

趋势网(微博微信)讯:

2岁男童下楼买糖时被人拐走  金正恩:朝鲜半岛核战争一触即发  受王宝强资助孩子父亲发声  

在IE已有的完整版补丁里存在一个缺陷,能使他人窃取用户的登陆凭证,并且在用户的浏览进程中注入恶意内容。微软的工作人员表示,他们正在努力修复这个漏洞,从而使IE 11以及IE 7、IE 8.1都能正常地运行。

这个缺陷属于普通的跨站脚本攻击(XSS)。它使得攻击者能够绕过同源政策。同源政策是网络应用模型中十分关键和重要的规则,它能阻止访问站点,或修改浏览器的cookies以及其他站点设置的内容。过去几天发表的一项漏洞概念验证显示了人们在使用IE支持版本,运行最新补丁访问恶意页面时,网站是如何违反规则的。

为了演示这个攻击,将在每日邮报的网站中注入“Hacked by Deusen”字样。但是这也有可能会盗取以HTML为基础数据的 新闻 网站,或者其他网站,以及访问者电脑上的商店。这意味着窃取身份验证cookies对于攻击者来说是小事一桩,因为在许多网站中,一旦访问者输入了一次用户名和密码,网站就会授予访问权限。只要拥有了这个cookie,攻击者也同样可以访问那些通常只提供给被侵入用户才能进入的限制区域,包括信用 卡数据,浏览器历史记录,以及其他保密数据。非法钓客还可以利用漏洞骗取人们泄露敏感网站的密码。

漏洞似乎是利用iframes篡改IE的同源政策,漏洞代码基本如下:

function go() { w=window.frames[0]; w.setTimeout("alert(eval('x=top.frames[1];r=confirm(\\'Close this window after 3 seconds...\\');x.location=\\'javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22\\';'))",1); } setTimeout("go()",1000);

微软发言人发表了如下声明:

我们没有意识到这个漏洞在不断地被利用,并且运行在安全更新中。为了运行漏洞,攻击者可能首先需要引诱用户登陆恶意网站,在这里他们通常都会采取网络钓鱼的方式。在默认的IE更新版本中,智能屏幕有助于帮助我们识别并防止钓鱼网站。我们依然鼓励客户不要打开不信任的资源链接、访问不信任的网站,我们希望用户在离开页面的时候能够进行注销,以此保护您的个人信息。

这则声明正确地指出,攻击者要想成功侵入,他们必须首先吸引目标进入恶意网页。在社交网络和链接时代,这个漏洞算不上遇到的很大的问题。虽然智能屏幕可以有效地对漏洞进行补救,但是还需要时间去实施。而且,目前智能屏幕只能帮助对抗收到大量垃圾链接的用户。智能屏幕现在可能还无法防止目标侵入。

给爱说话学生戴小蜜蜂的老师离职
网友:事实证明,学校里的任何事,不要拍视频,拍了也自己存着,控制一下分享欲,不是所有人都理解的。
献血100次可免费吃酒店自助餐
网友:这自助餐吃了能成仙吗,100次献血换1次自助餐。
台被曝欲交150亿保护费向特朗普示好
网友:倒霉的是台的老百姓,纳税的钱总是被祸祸。
景区回应将水龙头设计成生殖器形状
网友:关键为啥要设计成这样?谁设计的?
质问不修宿舍学生已被家长领回家
网友:不能解决问题,但可以解决人。
珠海驾车撞人案嫌疑人被批捕
网友:千刀万剐吧,别再放出来嚯嚯无辜的人了。
胖东来宣布员工结婚不允许要或付彩礼
19岁孤儿被骗到郑州4天没吃没喝
浙江发生重大刑案当地组织搜山追凶
大学生300元抢6399元电车提车被拒
紫金矿业回应被贩毒集团掠夺3吨黄金
老人领喜糖跌倒去世家属索赔新人
黑龙江老虎进村猛撞门 有人手被咬烂
何同学抄袭风波原作者发声
哈尔滨一田地内发现一具被焚尸体
已确认超40只宠物狗疑似中毒死亡
  感谢各大网址导航推荐本站: