据国外一名安全研究人员称,微软公司IE浏览器软件的用户正在成为黑客攻击的靶子。
微软公司的一名发言人承认,MSRC(微软安全响应中心)正在对有关该缺陷的公开报告进行调查。Secunia公司对该缺陷的安全评级为“中等危急”。该发言人在一份声明中说,我们目前还不清楚有试图利用该缺陷的攻击出现,或客户因该缺陷而受到影响。
微软公司将该问题称作是“可能的缺陷”,“可能会影响”IE浏览器,发现该缺陷的研究人员克莱恩已经在互联网上详细解释了它的危险性。该缺陷出现在IE的XmlHttpRequest实现中。XmlHttpRequest是一个Javascript对象,使客户端Javascript代码向主机发送几乎是“原始的”HTTP请求,访问反应的主机。
克莱恩发现,在被应用在HTTP请求中前,传递给“Microsoft.XMLHTTP”ActiveX控件的open()函数中方法参数的值没有经过恰当的检查。通过插入恶意的HTTP请求,黑客可以利用这一错误。成功地利用该缺陷,黑客可以发动绕开安全技术、数据处理、信息泄露等攻击。
Secunia公司确认,该缺陷存在于安装了所有补丁软件的Windows XP SP2+IE 6.0平台上。作为一种临时的安全措施,Secunia公司建议用户将IE的安全等级设置为“高”。
