國家計算機病毒中心發(fā)現(xiàn)微軟IE瀏覽器漏洞

2011年06月07日 08:51

國家計算機病毒應(yīng)急處理中心5日發(fā)布信息稱，通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)，微軟公司的瀏覽器ExplorerIE跨域本地Cookie臨時文件存在訪問安全限制繞過漏洞。

　　由于錯誤地對某些操作系統(tǒng)中本地數(shù)據(jù)文件執(zhí)行同源策略，所以惡意遠程攻擊者可利用此漏洞繞過跨域交互策略，直接獲取操作系統(tǒng)中本地敏感Cookie臨時文件中的私密信息數(shù)據(jù)，例如：個人網(wǎng)絡(luò)登錄賬號或密碼等。

　　一旦惡意攻擊者利用該漏洞實施遠程攻擊，就可能會針對特定攻擊目標系統(tǒng)進行個人私密數(shù)據(jù)信息的盜取，從中獲取一定的利益。如果惡意攻擊者入侵到存在該漏洞的操作系統(tǒng)中，就可以獲取到存儲在瀏覽器IE臨時cookie文件中的數(shù)據(jù)信息。

　　由于很多計算機用戶在登錄博客、郵箱等賬號時，往往都會默認選擇“記住密碼”。如果臨時文件cookie中的數(shù)據(jù)信息遭到竊取，存儲在其中的這些登陸賬號或密碼很可能就會遭到惡意竊取，給計算機用戶帶來不必要的損失。

　　目前，利用該漏洞進行網(wǎng)絡(luò)攻擊有兩個前提條件：第一，使用瀏覽器IE瀏覽打開一些特制的惡意Web網(wǎng)頁；第二，在Web網(wǎng)頁中進行鼠標拖拽操作。比如惡意攻擊者可能會設(shè)計一個網(wǎng)頁游戲，誘使計算機用戶進行相應(yīng)的鼠標拖拽操作。

　　專家說，目前，微軟公司還沒有提供針對該漏洞的補丁或者升級程序，我們建議計算機用戶隨時關(guān)注廠商的主頁http：//www.microsoft.com／windows/ie/default.asp，以獲取最新版本。

　　另外，在該漏洞得到修復(fù)前，計算機用戶應(yīng)避免使用瀏覽器IE在陌生的Web網(wǎng)站上進行網(wǎng)頁游戲，以免落入惡意攻擊者設(shè)計好的網(wǎng)絡(luò)陷阱。

（編輯：Jesse）