Google工程師戳微軟:IE的CSS漏洞該補了!
文/郭和杰 (記者) 2010-09-08
這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,Google安全工程師還指出,有證據可證明微軟在2008年時就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。
在微軟工程師上周五(9/3)揭露IE一個陳年的CSS安全漏洞之後,微軟終於開始調查這個可能影響Twitter及Web-mail的老問題。
這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,而Google安全工程師Chris Evans上周在Full Disclosure mailing list揭露這個IE安全漏洞時,開宗明義就表示:我希望這隻臭蟲能被修好……。
Evans表示,在最新版的IE 8瀏覽器裡有個很討厭的漏洞,之前請廠商(微軟)修補,卻沒成功。他還指出,該漏洞可以讓任意網站綁架受害的電腦發出像是Tweets一類的社交訊息。 Evans並建立一網頁展示這種攻擊。
他分析指出,這種攻擊的問題並不是出在Twitter,而完全是利用IE的臭蟲,而且,受影響的很可能還包括了更早的IE版本。
事實上這個漏洞Evans在2008年底時就已經揭露,當時Evants是以Yahoo的信箱服務當範例在說明,而受影響的遍及了五大瀏覽器。Evants也強調,有證據可證明微軟在2008年時 就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。
根據Evants的說明,該漏洞可能讓駭客利用瀏覽器載入CSS樣試表(CSS style sheets)時注入貌似合法的字串,接著駭客可進一步讓受害網站資料的URL出現在背景的映像裡,然後從網頁伺服器的logs裡蒐集相關的資料。
Evants並提供了他與卡內基美隆大學所合作發表的相關防治研究報告。該報告指出,這種名為「跨源」(Cross-origin)的CSS攻擊,可利用注入CSS來竊取受害網站的機密資料,而相關的防治方法已部署到Firefox、Chrome,及 Safari,還有Opera。
根據該報告的說明,這種Cross-origin的CSS攻擊最早在2002年見諸於文字說明,後來分別在2005年及2008年有兩次發現。截至目前為 止,所知的攻擊都需要有JavaScript,而且大多數都和IE有關。
就在Evants揭露這個陳年漏洞之後,微軟的安全回應中心在Twitter上表示,已經注意到被揭露的IE漏洞,並開始著手調查。不過根據國外媒體引述微軟回應指出,微軟說目前為止還未發現有任何鎖定該漏洞的相關攻擊。(編譯/郭 和杰)
~~~~~~~~~~
在VEMMA真的沒有失敗的問題,只有時間的問題,以及你是不是真的"全心投入堅持到底"~
加盟VEMMA簡單三步驟:
1.免費註冊試用體驗系統
2.仔細看 e-mail 收到的信件內容,若未收到請確認垃圾信件夾
3.仔細看VB網站及相關部落格內容和參與我們的線上辦公室(聊天室)及相關線上會議,主動聯繫指導教練,積極深入了解
這是《富爸爸窮爸爸》作者 羅伯特.T.清崎公開在媒體推薦的在家工作系統!
更是《秘密》作者包柏目前所運用的賺錢系統!!
喜歡 VEMMA 維瑪的自動跟進系統嗎^^? 歡迎您立即免費註冊試用喔^^!
現在就可以立即開始讓 Vemmabuilder 系統幫你賺錢!!
全世界每一秒鐘都有人加入我們的行列,美商維瑪 VEMMA 邀請您共創互助事業!
機會稍縱即逝~請把握住這班已經啟動的成功列車!
加入試用後,請與仲毅聯絡,讓仲毅引導你如何使用自動賺錢系統!
有任何問題?歡迎聯繫"仲毅"
e-mail:j824j824@yahoo.com.tw
Skype:gift7799
MSN:j824j824@yahoo.com.tw
Yahoo即時通:j824j824@yahoo.com.tw
QQ:2261483815
YY:373467589
VEMMA I 美商維瑪 I 網路行銷 I 網路創業 I 在家工作 I 兼職 I 直銷 I 電子商務 I 財務自由 I 健康生活 I 創業商機 I 網路工作E-commerce, home based business, internet marketing, make money online, mlm, network marketing, online marketing, online money, vemma, work at home, social netwok, social network marketing
留言列表