首页 >军事

微软宁死不招否认IE安全漏洞

2019-04-10 23:47:49 | 来源: 军事

有安全研究人员发现IE中存在地址欺骗(spoofing)问题,微软拒绝承认这是IE的安全漏洞。并肯定IE6中容易出现spoofing问题,但微软并不认为这是安全缺陷。Spoofing是一种址欺骗方法,使人们误以为正在浏览的站是他们所选取的,但实际上那只是个虚假的址。地址欺骗常被用在“钓鱼式欺诈(phishing scams)”中,即:通过伪装成来自合法组织的email,试图盗取个人资讯的行为。

在一封e-mail声明中,微软声称:“微软获悉在上周一份安全报告中提及水蛭价格价格
,IE状态栏会显示虚假的URL地址。当鼠标在页内的地址连接上移动时,用户在IE的状态栏会看到一个URL地址,但点击这个连接却去了另外一个地址。经我们调查私家车广告
,这个现象不属于“安全漏洞。”

德国的一位研究人员Benjamin Tobias Franz上周在BBS Bugtraq上发出警告说,如果罪犯在HTML的href标记间,插入两个URL和一个Tab符号,则IE就会出现伪装的地址连接组合轴承图片
,即spoof。

Franz断言,这个现象导致的结果就是,错误的URL连接会在用户不知情时,把他们诱导去完全不同的址。

但微软认为这个现象需要伴随着大量的社会工程实践,受害人才会上当受骗。

微软在声明中认为:“攻击者需要欺骗用户去访问某个址,然后再诱使用户根据IE状态栏出现的URL地址去点击一个连接。一旦到了那个虚假的址,攻击者还必须再引诱用户作出一连串的动作,比如公开机密的财经信息,而这一切还必须不能让用户发现他/她所浏览的页和URL所显示的不一致。”

微软告诫用户在跳转到另一个地址前,检查一下浏览器地址栏出现的URL连接是否就是自己希望去的地址。Franz和微软都认为Windows XP SP2不受这个问题的影响。

微软补充说将会对此问题进行评估,以便对此类情况进行代码上的部分修改。

在Bugtraq上, Franz指出HTML格式的e-mail存在这个漏洞,所以微软的Outlook Express也受这个问题的影响。Franz建议人们应该在连接上按鼠标右键以检查其真实地址。

安全公司NetCraft透露,Mozilla Firefox的用户不受这个问题的干扰。

更多精彩文章尽在IT168软件频道!

猜你喜欢