(圖/取自網路)
據科技媒體Ars Technica消息,IE瀏覽器出現重大安全性漏洞,微軟回應表示Winsows 7與8.1上的IE 11已經成功修復。
來自安全顧問公司Deusen的研究人員David Leo透過Full Disclosure郵件論壇表示,IE 11含有一個跨站指令碼(Cross Site Scripting, XSS)攻擊漏洞,讓駭客可以完全繞過同源法則(Same Origin Policy)從外部注入惡意程式到特定網站或是竊取特定網站的資料。
同源法則為網路應用安全的一個重要概念,它限制程式碼(例如JavaScript)只能存取或操作同一網域名稱的DOM,但該漏洞卻允許駭客從外部網站在另一個網站注入程式。
Leo展示了該漏洞,當使用者以IE 11造訪Daily Mail網站時,會跳出一個視窗,顯示Daily Mail網站已遭他挾持。當網站遭到相關攻擊時,駭客就能竄改或竊取該站的內容,包括記錄造訪該站的使用者所輸入的內容。此一漏洞影響了Windows 7與Windows 8.1上所執行的IE 11。
Leo已經在去年10月向微軟提報該漏洞。微軟則表示,目前尚未發現針對該漏洞的實際攻擊行動,同時也正在進行修補。此外,要攻擊該漏洞駭客必須先引誘使用者造訪惡意網站,而且用來阻擋網釣網站的SmartScreen功能在較新版IE的預設值都是啟用的。微軟並呼籲使用者避免開啟不明來源的網站連結。
微軟發言人對此進行了回應,以下是回應全文。
「我們沒有注意到此次的漏洞,目前已經在進行安全升級。攻擊者首先會利用釣魚網站誘導用戶進入惡意網站。IE瀏覽器內置的默認SmartScreen篩選器,可幫助用戶避免釣魚網站。我們希望用戶不要去打開來源不明的檔和不受信任的網站,離開網站時要記得退出登錄,以保護個人資訊安全。」
【一零一傳媒/整理報導】
免責聲明:
部分圖片、觀點,來源於網際網路及其他網路平台,主要目的在於分享訊息,讓更多人獲得需要的資訊,其版權歸原作者所有。如涉及侵權請告知,我們會在24小時內刪除相關內容。