一個新報告的IE瀏覽器漏洞可以使攻擊者創(chuàng)建一個看起來和真實(shí)的站點(diǎn)一模一樣的虛假網(wǎng)頁。這個漏洞使攻擊者可以在IE的地址欄里顯示真實(shí)的網(wǎng)頁地址(例如www.cnbeta.com)而實(shí)際上顯示其他的任意頁面。甚至可以顯示指示SSL(Secure Socket Layer)安全的圖標(biāo),安全人員在周四警告說!
這個問題可能會導(dǎo)致更嚴(yán)重的所謂phishing欺騙,一個網(wǎng)上很普遍的攻擊類型,經(jīng)常是在垃圾郵件里面含有看起來上合法的電子商務(wù)網(wǎng)站的鏈接,用戶登入后其輸入的一些如用戶名,密碼和信用卡號碼等就會被盜。
這個漏洞是由Greyhats安全群組的安全研究人員發(fā)現(xiàn)并在周四由丹麥的安全公司Secunia報告的。據(jù)稱,這個漏洞是由一個IE的一個ActiveX 控件引起的,已證明會影響到運(yùn)行在Windows XP上6.0或更早的版本!
微軟正在研究這份報告,一位公司發(fā)言人在周五說:“我們到現(xiàn)在為止還沒有任何使用這個漏洞嘗試進(jìn)行攻擊和顧客反饋的信息,但是我們正在詳細(xì)的調(diào)查這份公開報告! 同時她說,在調(diào)查結(jié)束后微軟會通過每月的安全更新或例外地發(fā)布一個安全補(bǔ)丁。同時Secunia建議用戶通過禁用IE的控件或?qū)踩墑e設(shè)置為“高”來保護(hù)自己。
一些銀行已經(jīng)開始通過教育顧客來防止phishing帶來的損失。花旗在它的網(wǎng)站上已經(jīng)警告顧客不要點(diǎn)擊電子郵件里面的鏈接。同時建議客戶手動的登陸其銀行網(wǎng)頁以保證不是和一個欺騙者交易。