|
|
| IE再現四大極危漏洞 XP SP2亦難逃一劫 |
 |
|
[本報訊]
安全機構Secunia昨天發表公告聲稱,它們又在微軟的IE流覽器上發現了4個新的漏洞,並將這些漏洞的威脅等級列為“極度危急”。
根據Secunia的安全公告,IE流覽器的四個最新漏洞分別是:
1、IE可能將某一功能重新導向為名稱相同的其他功能,這將允許惡意站點繞過正常的安全限制訪問系統的某項功能。成功的實驗案例證實攻擊者可以在其他網站的內容上運行任意代碼,也可能可以在其他安全區上運行任意代碼。
2、惡意站點可以欺騙用戶執行某項操作,如拖放或隨意點擊某些資源。成功的實驗案例證實惡意網站可任意在脆弱的系統上添加“收藏夾”鏈結。
3、攻擊者可以在收藏夾的“頻道”鏈結上注入任意腳本代碼,當增加“頻道”時代碼就會在“本機安全區”內容中執行。
4、攻擊者可以使用“Window.createPopup()”在任何其他視窗和對話方塊上放置任意內容,從而改變相應對話方塊和視窗的外觀。
Secunia同時還警告說,另外一個允許惡意站點使用錨參考在用戶本機安全區上添加腳本的漏洞也已被證實影響到運行於Windows XP SP2(RC版和Beta版)的IE 6流覽器,不過應用了所有補丁的Windows XP SP1作業系統可能不會受其影響。
Secunia表示,攻擊者可以利用IE上述四個最新漏洞侵佔脆弱的系統。現在已證實受影響的IE流覽器包括IE 5.01、5.5和6,而且較舊版本的IE也可能存在類似的漏洞。Secunia提供的解決方案是禁用Active腳本或使用IE之外的流覽器。
|
|
