IE曝新漏洞：黑客可劫持Cookie文件

2011年05月26日 10:04

　　新浪科技訊北京時間5月26日上午消息，意大利一名獨立互聯(lián)網(wǎng)安全研究員日前發(fā)現(xiàn)微軟IE瀏覽器存在一個新漏洞，黑客可以利用該漏洞竊取包含F(xiàn)acebook、Twitter等網(wǎng)站用戶名和密碼在內(nèi)的Cookie文件。

　　這名互聯(lián)網(wǎng)安全研究人員名為羅薩里奧·瓦羅塔(Rosario Valotta)，他將上述黑客技術(shù)稱作是從Cookie劫持(Cookiejacking)。

　　瓦羅塔說：“Cookiejacking無所不能，不論是任何網(wǎng)站、任何Cookie文件，一切超乎想象。”

　　瓦羅塔稱，黑客可以利用IE瀏覽器上的漏洞訪問瀏覽器內(nèi)部的Cookie數(shù)據(jù)文件，后者包含了網(wǎng)站賬戶上的登錄名和密碼。一旦黑客得到Cookie文件，他們就可以登錄到對應(yīng)的網(wǎng)站中。

　　瓦羅塔稱，此次安全漏洞將影響到所有Windows系統(tǒng)版本上的所有IE版本瀏覽器，包括微軟新推出的IE9。

　　為了利用這個漏洞，黑客需要在IE瀏覽器的Cookie前誘使用戶在PC屏幕上拖拽某個對象。這聽起來似乎是一個艱難的任務(wù)，但瓦羅塔稱他能輕松實現(xiàn)這一目標。瓦羅塔在Facebook上設(shè)置了一個謎題，解答出該謎題的用戶就能夠看到一位美麗女子的裸照，瓦羅塔說：“我把這個游戲放在了Facebook上，結(jié)果不到3天的時間內(nèi)，有超過80份Cookie文件發(fā)到了我的服務(wù)器上，而且這還是我的Facebook上只有150位朋友的前提下。”

　　不過微軟認為黑客在現(xiàn)實世界中成功使用Cookie劫持騙局的可能性并不大，微軟發(fā)言人杰瑞布·萊恩特(Jerry Bryant)表示，考慮到它需要用戶的參與，我們認為這個漏洞風(fēng)險并不高。用戶首先得訪問惡意網(wǎng)站，然后被說服點擊和拖拽頁面上的對象，這樣黑客還只能竊取包含用戶已登錄賬戶的網(wǎng)頁Cookie文件?！?/P>

聯(lián)系我們

郵編

100083

郵箱

ISC@isc.org.cn

地址

北京市海淀區(qū)學(xué)院路42號院
黨建工作辦公室

010-57234929-1057

綜合部

010-57234929-1056

會員部

010-57234929-1120、1121、1122、1123、1125

國際部

010-57234929-1128、010-57234929-1127

宣傳部

010-57234929-1005、010-57234929-1002

監(jiān)管支撐部

010-57234929-1027
網(wǎng)民權(quán)益保護部

010-57234929-1012

產(chǎn)業(yè)促進部

010-57234929-1031、 010-57234929-1032

研究部(標準工作辦公室)

010-57234929-1039、010-57234929-1038

創(chuàng)新發(fā)展與人才工作部

010-57234929-1053、010-57234929-1052

北京中互網(wǎng)來信息技術(shù)有限公司

13910986745