萬眾期待的IE7從19日發布到現在還不足半個月,安全漏洞已經出現三個了,而發現者仍是揭露出頭兩個漏洞的Secunia。 Secunia安全研究員Per Gravgaard發現的這個最新漏洞屬于Windows注入缺陷,會導致合法網站被破壞。利用該漏洞,黑客可以構造出特殊代碼,然后利用自己的網站替換掉正常的網站。Secunia的安全公告指出:“如果目標網站的窗口標題是已知的,就可以將另一個網站的內容注入其中。惡意網站可以籍此替換掉可信任網站彈出窗口的內容,進而欺騙用戶。” 與第二個IE7漏洞一樣,這次還是瀏覽器對彈出窗口的控制問題出現了瑕疵。IE7本來可以抵御利用新漏洞發起的攻擊,不過如果黑客配合利用第二個漏洞,IE7就無能為力了。 測試表明,如果開啟IE7的彈出窗口屏蔽功能,可以在很大程度上彌補這一漏洞。舊版的IE6和Firefox 1.5以及同樣剛發布的Firefox 2.0也都存在這一漏洞,尤為嚴重的是:Firefox 1.5即使開啟彈出窗口屏蔽功能也無濟于事。
Secunia在IE7發布24小時內就指出了一個漏洞,而微軟澄清說那其實是Outlook Express組件的問題,與IE本身無關,不過Secunia看來是跟IE7較上勁了。照這樣下去,第四個、第五個……IE7漏洞也不遠了。
Secunia照例又給出了一個測試演示頁面,在這里。
相關新聞