Google工程師戳微軟:IE的CSS漏洞該補了!

文/郭和杰 (記者) 2010-09-08

 

這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,Google安全工程師還指出,有證據可證明微軟在2008年時就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。 

在微軟工程師上周五(9/3)揭露IE一個陳年的CSS安全漏洞之後,微軟終於開始調查這個可能影響Twitter及Web-mail的老問題。 

這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,而Google安全工程師Chris Evans上周在Full Disclosure mailing list揭露這個IE安全漏洞時,開宗明義就表示:我希望這隻臭蟲能被修好……。 

Evans表示,在最新版的IE 8瀏覽器裡有個很討厭的漏洞,之前請廠商(微軟)修補,卻沒成功。他還指出,該漏洞可以讓任意網站綁架受害的電腦發出像是Tweets一類的社交訊息。 Evans並建立一網頁展示這種攻擊。 

他分析指出,這種攻擊的問題並不是出在Twitter,而完全是利用IE的臭蟲,而且,受影響的很可能還包括了更早的IE版本。 

事實上這個漏洞Evans在2008年底時就已經揭露,當時Evants是以Yahoo的信箱服務當範例在說明,而受影響的遍及了五大瀏覽器。Evants也強調,有證據可證明微軟在2008年時 就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。 

根據Evants的說明,該漏洞可能讓駭客利用瀏覽器載入CSS樣試表(CSS style sheets)時注入貌似合法的字串,接著駭客可進一步讓受害網站資料的URL出現在背景的映像裡,然後從網頁伺服器的logs裡蒐集相關的資料。 

Evants並提供了他與卡內基美隆大學所合作發表的相關防治研究報告。該報告指出,這種名為「跨源」(Cross-origin)的CSS攻擊,可利用注入CSS來竊取受害網站的機密資料,而相關的防治方法已部署到Firefox、Chrome,及 Safari,還有Opera。 

根據該報告的說明,這種Cross-origin的CSS攻擊最早在2002年見諸於文字說明,後來分別在2005年及2008年有兩次發現。截至目前為 止,所知的攻擊都需要有JavaScript,而且大多數都和IE有關。 

就在Evants揭露這個陳年漏洞之後,微軟的安全回應中心在Twitter上表示,已經注意到被揭露的IE漏洞,並開始著手調查。不過根據國外媒體引述微軟回應指出,微軟說目前為止還未發現有任何鎖定該漏洞的相關攻擊。(編譯/郭 和杰)

 

 

~~~~~~~~~~

VEMMA真的沒有失敗的問題,只有時間的問題,以及你是不是真的"全心投入堅持到底"~

加盟VEMMA簡單三步驟:
1.免費註冊試用體驗系統
2.仔細看 e-mail 收到的信件內容,若未收到請確認垃圾信件夾
3.仔細看VB網站及相關部落格內容和參與我們的線上辦公室(聊天室)及相關線上會議,主動聯繫指導教練,積極深入了解

 

這是《富爸爸窮爸爸》作者 羅伯特.T.清崎公開在媒體推薦的在家工作系統!
更是《秘密》作者包柏目前所運用的賺錢系統!!

喜歡 VEMMA 維瑪的自動跟進系統嗎^^? 歡迎您立即免費註冊試用喔^^! 
現在就可以立即開始讓 Vemmabuilder 系統幫你賺錢!!

 

全世界每一秒鐘都有人加入我們的行列,美商維瑪 VEMMA 邀請您共創互助事業!

機會稍縱即逝~請把握住這班已經啟動的成功列車!


vemma仲毅貼心提醒

加入試用後,請與仲毅聯絡,讓仲毅引導你如何使用自動賺錢系統!

有任何問題?歡迎聯繫"仲毅"

e-mailj824j824@yahoo.com.tw

Skypegift7799

MSNj824j824@yahoo.com.tw

Yahoo即時通:j824j824@yahoo.com.tw

QQ2261483815

YY373467589


VEMMA I 美商維瑪 I 網路行銷 I 網路創業 I 在家工作 I 兼職 I 直銷 I 電子商務 I 財務自由 I 健康生活 I 創業商機 I 網路工作E-commerce, home based business, internet marketing, make money online, mlm, network marketing, online marketing, online money, vemma, work at home, social netwok, social network marketing

arrow
arrow
    全站熱搜

    VMA維瑪 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄