IE7第一个正式漏洞—弹窗URL欺诈

来源：eNet硅谷动力作者：孤单的鸽子出处：巧巧读书 2006-10-27 进入讨论组

　　安全专家近日发现了Internet Explorer 7中存在的一个缺陷，该缺陷可以帮助恶意攻击者伪装一个钓鱼式欺诈行为。而形成一种讽刺意味的是，微软在Internet Explorer 7中主推的安全防护之一就是反钓鱼。　　

　　安全检测公司Secunia当地时间周三对外称，上周发布的IE7，允许一个站点弹出一个可能包含欺诈性网站地址的窗口。Secunia在安全警告中称，攻击者可能会利用该漏洞对用户造成一种假象，认为他们正在访问的是一个可信任站点，而事实上他们正在查看的是一个恶意页面。　　

　　“这个问题的存在，使弹出窗口只能显示地址栏的一部分，从而对用户形成欺骗，以致其进行一些无意识的操作，”Secunia说道。该公司还进行了一个演示，在演示中，弹出窗口的地址栏显示的微软的网站地址，而显示的是来自Secunia的内容。　　

　　对此，一名微软负责人在一封电子邮件中解释到，该问题存在于IE7地址栏中显示网站地址的方式。该负责人还说，攻击者可能会通过诱使一个用户点击一个特殊格式的链接，从而利用该漏洞发起攻击。　　

　　微软方面称，弹出窗口将阻止网站地址的剩余部分。“然而，点击浏览器窗口或者地址栏，并按住鼠标左键，一直的向右移动选择内容，将会显示全部的URL。”在Secunia演示的情况中，利用这种方式可以将Secunia的URL显示出来。　　

　　微软方面还称，如果一个网站是一个已知的钓鱼式站点，利用该漏洞的攻击是不会成功的，因为IE7反钓鱼防护将标识这些站点，并对用户发出警告。微软方面表示，它并不担心真的使用该漏洞所发起的任何攻击。　　

　　IE7是微软旗下著名的Internet Explorer浏览器在近五年之内的第一个主要升级。安全是该升级版本的主打优势，而反钓鱼则是微软所关注的一个主要目标。　　

　　Secunia评定为“低等级”安全级别的欺诈性漏洞，看上去是微软浏览器中爆出的第一个真正的、公开披露的漏洞。微软方面称，早先爆出的那个安全漏洞并非怪罪于IE7，完全是存在于Outlook Express中。　　

　　微软表示，将继续对此问题进行跟踪，并提供一个浏览器补丁对其作出修补。微软斥责了公开该漏洞的匿名人士，因为其希望安全问题能够秘密地揭露，这样它可以在被公众获悉之前作出修补。　　

　　