安全研究人员克莱因在其研究报告中写道,问题出在微软实现IE浏览器中一个JavaScript组件的方式中。他说,当使用名为XmlHttpRequest 的组件时,IE不对PC提供的一些数据域进行验证。
通过特别设计的代码,黑客可以利用该缺陷。据克莱因称,黑客可以制作一个虚假的合法网站、从浏览器的缓冲区中访问数据、实施所谓的“中间人攻击”,窃听用户和另一个网站之间的数据流量。
安全监测厂商Secunia 公司在一份公告中说,运行Windows XP SP2、IE 6,而且安装了所有补丁软件的系统也存在该缺陷。
Secunia 对该安全缺陷的评级为“中等危急”,但它表示,通过将IE中的“安全等级”设置为“高”,用户就可以消除受到攻击的危险性。
微软的一名代表在一份声明中说,微软正在调查这一缺陷报告。这名代表指出,微软不知道有任何利用该缺陷的攻击发生。一旦调查工作完成,微软将提供安全升级包或发布紧急补丁软件。
微软对该缺陷的公开方式非常不满。微软建议安全研究人员首先秘密地向它报告产品中的缺陷,使它有时间开发一款补丁软件,以更好地确保用户的安全。微软的这名代表说,这种公开披露的方式会给用户带来危险。
在过去的数周中,一些安全研究人员已经发现了IE中的多处缺陷,其中一些缺陷可导致黑客控制用户的PC。
