IE 7漏洞 有助詐騙網站偽裝

| | | | | | 留下回應

    

安全專家已發現微軟最新的網路瀏覽器IE 7有一漏洞，有助騙徒偽裝網站。防詐騙正是微軟號稱IE 7加強的安全設計。

安全公司Secunia 25日表示，上週推出的IE 7可能顯示含有詐騙網址的自動快顯視窗。攻擊者可利用這個漏洞，誘使民眾以為自己是在可信任的網站，實際卻是瀏覽惡意網頁。

Secunia表示：「網址列有可能只顯示部分的網址，誘騙使用者執行某些為計畫的動作。」該公司特別示範製作一個顯示微軟網址的快顯視窗，但內容卻出自Secunia。

微軟代表在電郵聲明中指出，問題出在IE 7位址列顯示網址的方式。攻擊者可利用這個問題誘騙使用者點選特製的連結。快顯視窗會擋住網址的左半部，但微軟表示：「點在瀏覽器視窗或位址列內並拖曳，就會顯示完整的URL。」以Secunia的示範為例，這個動作便會顯示出真正的Secunia URL。

微軟強調，已知的釣魚網站無法用來發動這類攻擊。IE 7釣魚詐騙防護能認出這類網站並警告使用者。微軟也並未接獲任何透過該漏洞執行的攻擊通報。IE 7是微軟5年來最重要的瀏覽器更新，安全是當中最大的投資。釣魚詐騙防護是微軟的主要焦點之一，保護使用者不被誘騙提供敏感的個人資料。

被Secunia評為較低風險的偽裝問題，應是IE 7第一個真正、公開的安全瑕疵。IE 7開放下載第二天傳出的問題，其實屬於Outlook Express。

微軟表示，公司會持續調查該問題，且可能提供修補程式。此外，微軟也不滿匿名的瑕疵公佈。該公司希望外界私下通報安全問題，待解決方案完成後再對外公佈。（陳智文/譯）