趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:日前,微软公司发现了Internet Explorer补丁里存在的XSS漏洞,漏洞能使他人窃取用户的登陆凭证,并且在用户的浏览进程中注入恶意内容。微软工程师正在全力修复此漏洞。
理记质疑江歌妈妈诈捐
网友:有车有120平米大房子,对外借出92万巨款的富婆,还向网友募捐善款,这不是善款吗?
叶珂吐槽伍佰的歌猥琐 黄晓明回应
网友:晓明哥看淡了这一切,鞋穿在自己脚上,只有自己知道合适不合适。
南通小米SU7车主行凶事件拱火者被人肉
网友:反正现在全网都在骂xcc,感觉有人在带节奏。
特朗普或再次提前宣布胜选
网友:美国大选火药味越来越浓。
摩托司机等红绿灯被撞身亡
网友:摩托司机太可怜了,无妄之灾。
美国无差别监 听全球互联网用户
网友:美国千方百计阻止中国企业参与越南的海底光缆建设,原来秘密在这里。

趋势网(微博微信)讯:

美国大选前夕更多富人计划离开美国  女子称卖40万手表后银行卡被冻结  14岁男孩电梯内捂嘴猥亵女童被拘  

在IE已有的完整版补丁里存在一个缺陷,能使他人窃取用户的登陆凭证,并且在用户的浏览进程中注入恶意内容。微软的工作人员表示,他们正在努力修复这个漏洞,从而使IE 11以及IE 7、IE 8.1都能正常地运行。

这个缺陷属于普通的跨站脚本攻击(XSS)。它使得攻击者能够绕过同源政策。同源政策是网络应用模型中十分关键和重要的规则,它能阻止访问站点,或修改浏览器的cookies以及其他站点设置的内容。过去几天发表的一项漏洞概念验证显示了人们在使用IE支持版本,运行最新补丁访问恶意页面时,网站是如何违反规则的。

为了演示这个攻击,将在每日邮报的网站中注入“Hacked by Deusen”字样。但是这也有可能会盗取以HTML为基础数据的 新闻 网站,或者其他网站,以及访问者电脑上的商店。这意味着窃取身份验证cookies对于攻击者来说是小事一桩,因为在许多网站中,一旦访问者输入了一次用户名和密码,网站就会授予访问权限。只要拥有了这个cookie,攻击者也同样可以访问那些通常只提供给被侵入用户才能进入的限制区域,包括信用 卡数据,浏览器历史记录,以及其他保密数据。非法钓客还可以利用漏洞骗取人们泄露敏感网站的密码。

漏洞似乎是利用iframes篡改IE的同源政策,漏洞代码基本如下:

function go() { w=window.frames[0]; w.setTimeout("alert(eval('x=top.frames[1];r=confirm(\\'Close this window after 3 seconds...\\');x.location=\\'javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22\\';'))",1); } setTimeout("go()",1000);

微软发言人发表了如下声明:

我们没有意识到这个漏洞在不断地被利用,并且运行在安全更新中。为了运行漏洞,攻击者可能首先需要引诱用户登陆恶意网站,在这里他们通常都会采取网络钓鱼的方式。在默认的IE更新版本中,智能屏幕有助于帮助我们识别并防止钓鱼网站。我们依然鼓励客户不要打开不信任的资源链接、访问不信任的网站,我们希望用户在离开页面的时候能够进行注销,以此保护您的个人信息。

这则声明正确地指出,攻击者要想成功侵入,他们必须首先吸引目标进入恶意网页。在社交网络和链接时代,这个漏洞算不上遇到的很大的问题。虽然智能屏幕可以有效地对漏洞进行补救,但是还需要时间去实施。而且,目前智能屏幕只能帮助对抗收到大量垃圾链接的用户。智能屏幕现在可能还无法防止目标侵入。

苏州一小区给业主分红户均分到4位数
网友:全国范围来看,业委会正常运转甚至成立都任重道远啊。
小学副校长被控性侵16岁女学生
网友:定罪不需要证据吗?
余华英卖的第1个孩子是自己儿子
网友:毁了这么多人的家庭,该死的人贩子!
列车撞上野猪 机械师查看被撞身亡
网友:这个说明调度制度安排上有问题,有人在检修,系统不知道。
中学年薪50万招老师 干6年送房
网友:重视教育是幸事。
朝鲜强调已对韩国军方发出最后警告
网友:我已经分不清哪次是最后一次了。
19岁中专生拿了个世界冠军当生日礼物
列车撞上野猪 机械师查看被撞身亡
私人影院肢体接触明码标价
寻亲走红的郁豹豹已与家人决裂
同学被打男生要报警被老师呵斥
摩托司机等红绿灯被撞身亡
姜萍数学竞赛系老师提供帮助
特朗普或再次提前宣布胜选
前三季度结婚登记同比减少94.3万对
女孩收200万分手费因敲诈勒索被判刑
  感谢各大网址导航推荐本站: