IE浏览器中JavaScript组件有缺陷

　　安全研究人员克莱因在其研究报告中写道，问题出在微软实现IE浏览器中一个JavaScript组件的方式中。他说，当使用名为XmlHttpRequest 的组件时，IE不对PC提供的一些数据域进行验证。

　　通过特别设计的代码，黑客可以利用该缺陷。据克莱因称，黑客可以制作一个虚假的合法网站、从浏览器的缓冲区中访问数据、实施所谓的“中间人攻击”，窃听用户和另一个网站之间的数据流量。

　　安全监测厂商Secunia 公司在一份公告中说，运行Windows XP SP2、IE 6，而且安装了所有补丁软件的系统也存在该缺陷。

　　Secunia 对该安全缺陷的评级为“中等危急”，但它表示，通过将IE中的“安全等级”设置为“高”，用户就可以消除受到攻击的危险性。

　　微软的一名代表在一份声明中说，微软正在调查这一缺陷报告。这名代表指出，微软不知道有任何利用该缺陷的攻击发生。一旦调查工作完成，微软将提供安全升级包或发布紧急补丁软件。

　　微软对该缺陷的公开方式非常不满。微软建议安全研究人员首先秘密地向它报告产品中的缺陷，使它有时间开发一款补丁软件，以更好地确保用户的安全。微软的这名代表说，这种公开披露的方式会给用户带来危险。

　　在过去的数周中，一些安全研究人员已经发现了IE中的多处缺陷，其中一些缺陷可导致黑客控制用户的PC。