IE7新漏洞可導致用戶輕易掉入網絡詐騙陷阱
發布時間：2007-03-15 點擊次數：

【賽迪網訊】3月15日消息，一位安全研究員周三報告稱，微軟IE瀏覽器上存在的一個漏洞有可能輕易讓用戶掉入網絡詐騙陷阱。

據IDG新聞社報道，據以色列安全研究員Aviv Raff稱，該漏洞存在于IE7處理存儲于本地的HTML出錯信息頁面的方式上。通常情況下，當用戶取消登陸一個網頁時，該出錯信息就會出現。

出錯信息告訴用戶，“與該網頁的連接已被取消”，同時它還會提供一個“刷新頁面”的機會。如果點擊了刷新連接，IE可以會受到欺騙，顯示一個錯誤的網頁地址。Raff公布的概念性代碼展示了IE如何被利用來顯示他的網站上的一個頁面，而該頁面看上去會讓人誤以為來自cnn.com。

Raff說，這個漏洞可能會被那些試圖讓自己的欺騙性網站看上去更合法的網絡釣魚者所利用。

“我可以在該頁面上注入一個腳本，當用戶點擊‘刷新’時，它可以顯示我想要的任何內容。”他說。“將這個與設計漏洞相結合，瀏覽器的地址欄就可以顯示出攻擊者想要的任何URL，并顯示出他想要的任何結果。”

這種類型的缺陷通常被稱為跨網站腳本漏洞。Raff 說，它影響到Vista和XP上運行的IE 7。

微軟沒有立即證實Raff的這個發現，但該公司發布了一個聲明稱，微軟正在對這個問題進行調查，目前尚未發現有相關攻擊事件發生。