近日,安全专家警告称,在微软IE浏览器中发现的最新漏洞,有可能导致欺骗式攻击,或是接入安全性较差的PC进而改变有用数据。
安全专家Amit Klein称,IE的新漏洞主要出现在执行JavaScript命令时。当发出XmlHttpRequest指令请求时,IE浏览器没有使PC的一些数据启用。这种安全漏洞可能会导致代码利用,攻击者可以进入合法网站,接入浏览器的缓冲或是在用户和另一个网站之间实施攻击。
安全机构Secunia在安全警告中指出,运行Windows XP SP2和使用IE6.0的电脑容易受到这种攻击。Secunia把这种安全漏洞列为"中级",并建议用户可以把IE的安全级别设置为"高级"以避免这种漏洞风险。
微软公司的代表称,公司正在对新的漏洞进行调查。微软对任何利用漏洞的攻击行为极为重视,微软可能会提供安全升级或是紧急修复。当安全机构公布这种漏洞后,微软大为不悦。
微软要求安全研究人员悄悄地报告漏洞,这样就可以提供修复,"公开透露这种漏洞,可能会使用户处于风险之中。"
在过去的几周内,有数名安全人员透露了微软IE的安全漏洞。有些漏洞会导致攻击者控制用户PC。本月初,微软原计划推出修补包,但由于质量问题而推迟。Secunia公司目前已公布IE漏洞建议86个,其中有20个漏洞仍未得到升级或修复。
