安全研究人员本周一警告称,IE 7浏览器的一个安全漏洞能够让恶意攻击者修改合法网站弹出式窗口的内容。
这个浏览器的问题影响到打开包含恶意代码的可信赖网站上的弹出式窗口的用户。这是自从微软两个星期前发布IE7以来发现的第二个IE7的安全漏洞。 上个星期,IE 7浏览器软件中发现了一个欺骗弹出式窗口地址的安全漏洞。
发现这些问题的安全公司Secunia的首席技术官ThomasKristensen说,如果配合使用IE7的这两个安全漏洞,就很容易欺骗最有安全头脑的用户。Secunia把这个最新的问题列为安全漏洞。微软称,这个问题是浏览器的设计行为引起的。
微软的代表称,Secunia的报告解释了流行的网络浏览器的设计行为,这种设计让网站打开或者重新使用一个弹出式窗口。在IE7中,网页的实际URL地址是在弹出式窗口地址栏中显示的,能够让用户准确地制定一个可信赖的决策。
微软称,遵守其安全浏览指南,在输入敏感个人信息之前验证HTTPS连接,就可以提高防御这种安全漏洞的能力。
Secunia把最新发现的安全漏洞列为“中等严重”的安全漏洞,因为观看内容不能让攻击者访问用户的计算机。但是,如果用户向恶意弹出式窗口输入敏感的信息,如信用卡信息、用户名或者口令,就会产生有害的影响。
这个安全漏洞被列为中等严重的安全漏洞还因为它要求用户的互动,并且仅影响特定的可信赖的网站。Secunia指出,这个安全漏洞影响全面使用补丁的运行IE7和微软Windows XP SP2的系统。
这家安全公司告诫用户在浏览他们信赖的网站的同时不要浏览不可信赖的网站。 |