IE与Firefox漏洞 可抢占正规网站弹出窗口
IE与Firefox漏洞 可抢占正规网站弹出窗口(2004.12.10) 来自:日经BP
丹麦Secunia当地时间12月8日公开了在主流网络浏览器Internet Explorer(IE)、Mozilla/Mozilla Firefox、Opera、 Safari、Konqueror中发现的安全漏洞(英文),攻击者可“抢占”著名可靠网站的弹出式窗口,在窗口中显示第三方网站的网页(内容)。由于该安全漏洞可用于网络欺诈,因此用户务必注意。
Secunia公司公开了利用此安全漏洞的演示页面(英文)。用户访问Secunia网站上的演示页面后,会在另一个窗口显示美国花旗银行的网页。接下来,如果在花旗银行网页中点击被链接到特定弹出式窗口的图像,那么Secunia网站上的弹出式窗口就会显示“为什么”字样(上方照片为使用IE的演示,点击此处放大)。这就是此次的安全漏洞。
即使已经采用了拦截弹出式窗口的设置,或者正在使用拦截弹出式窗口的工具,仍旧能够实施同样的“攻击”(基于Firefox的演示结果点击此处)。
据Secunia公开的信息,要想“成功地”突破此安全漏洞进行攻击,必须把用户引诱到攻击者的网站。也就是说,(1)首先,在用户的浏览器里显示攻击者的网页;然后(2)在别的浏览器窗口显示可靠网站的网页。在这种状态下,一旦用户信赖的网站上显示了弹出式窗口,(3)就能够在此窗口中显示(并非可靠网站的网页)攻击者指向的网页(右图为Secunia公开的流程图,点击放大)。
如果恶意利用此安全漏洞,攻击者就能进行网络欺诈。比如“在弹出式窗口中显示链接到攻击者网站上的假冒窗口,让用户输入个人信息”,用户务必严加防范。
据悉Secunia公司已于11月19日向存在此安全漏洞的各浏览器开发商做了汇报。但似乎所有的供应商都没有公开与此有关的信息、补丁、修正版等。
Secunia公司提出的防范措施是:“在浏览可靠网站时,不要浏览不可靠的网站(Do not browse untrusted sites while browsing trusted sites)。”
页:
[1]