國家計算機病毒中(zhōng)心發現微軟IE浏覽器漏洞

發布日期:2011-07-24首頁 > 安全資(zī)訊
      6月6日SafeBeta消息,國家計算機病毒應急處理中(zhōng)心5日發布信息稱,通過對互聯網的監測發現,微軟公司的浏覽器ExplorerIE跨域本地Cookie臨時文件存在訪問安全限制繞過漏洞。

      由于錯誤地對某些操作系統中(zhōng)本地數據文件執行同源策略,所以惡意遠程攻擊者可利用此漏洞繞過跨域交互策略,直接獲取操作系統中(zhōng)本地敏感Cookie臨時文件中(zhōng)的私密信息數據,例如:個人網絡登錄賬号或密碼等。

      一(yī)旦惡意攻擊者利用該漏洞實施遠程攻擊,就可能會針對特定攻擊目标系統進行個人私密數據信息的盜取,從中(zhōng)獲取一(yī)定的利益。如果惡意攻擊者入侵到存在該漏洞的操作系統中(zhōng),就可以獲取到存儲在浏覽器IE臨時cookie文件中(zhōng)的數據信息。

      由于很多計算機用戶在登錄博客、郵箱等賬号時,往往都會默認選擇“記住密碼”。如果臨時文件cookie中(zhōng)的數據信息遭到竊取,存儲在其中(zhōng)的這些登陸賬号或密碼很可能就會遭到惡意竊取,給計算機用戶帶來不必要的損失。

      目前,利用該漏洞進行網絡攻擊有兩個前提條件:第一(yī),使用浏覽器IE浏覽打開(kāi)一(yī)些特制的惡意Web網頁;第二,在Web網頁中(zhōng)進行鼠标拖拽操作。比如惡意攻擊者可能會設計一(yī)個網頁遊戲,誘使計算機用戶進行相應的鼠标拖拽操作。

      專家說,目前,微軟公司還沒有提供針對該漏洞的補丁或者升級程序,我(wǒ)們建議計算機用戶随時關注廠商(shāng)的主頁http://www.microsoft.com/windows/ie/default.asp,以獲取最新版本。

      另外(wài),在該漏洞得到修複前,計算機用戶應避免使用浏覽器IE在陌生(shēng)的Web網站上進行網頁遊戲,以免落入惡意攻擊者設計好的網絡陷阱。