在本周二发布的一份安全公告中,安全监测厂商Secunia 公司表示,这一缺陷能够被用来在浏览器的地址栏中造假。它可以被用来实施钓鱼式攻击,使用户误认为他们是在访问合法的网站,而实际上他们访问的是由犯罪建立的虚假网站。
钓鱼式攻击是一种常见的网络欺诈活动,它诱骗用户泄露他们自己的个人资料。这种欺诈活动通常综合运用垃圾邮件和欺诈性网站,电子邮件和网站似乎都是来自信用卡公司或银行等可信赖的机构。
据Secunia 称,这一缺陷存在于IE浏览器加载网页和Flash 动画方式中存在的“错误”。Secunia 对该缺陷的评级是“中度危急”,并开发了一个专用网页,供用户对使用的浏览器进行测试,查验是否受到该缺陷的影响。
Secunia 已经证实该缺陷影响在安装了所有升级包的Windows XP上运行的IE 6.0,也影响最新的β版IE 7.Secunia表示,其它版本的IE也可能会受到影响。
微软的一名代表在周三晚些时候发表的一份电子邮件声明中说,微软正在对新报告的缺陷进行调查。
这名代表说,我们最初的调查已经表明,将IE的安全性设置为“高”,或关闭IE的活动脚本的客户受到攻击的危险性较低,因为利用该缺陷进行攻击需要使用到脚本。
微软还指出,它还没有发现利用该缺陷的真正的攻击。
