微軟調查IE 7、Vista漏洞 用戶恐遭釣魚攻擊

| | | | | | 留下回應

    

微軟本週一表示，正在對最近披露影響IE 7和Windows Vista的兩個安全漏洞進行調查。

儘管影響微軟最新版本的瀏覽器器和作業系統，但這兩個漏洞的危險程度並不高。安全專家警告稱，這二個漏洞可能使駭客獲得用戶的機密資訊。

法國安全事件回應團隊（FrSirt）在一份安全公告中說，這個IE漏洞也影響IE 6，可能已經被用來發動釣魚欺詐攻擊。

FrSirt表示，存在該漏洞的原因是，IE處理一些「onunload」事件方式不當。駭客可以利用該漏洞顯示虛假的瀏覽器器位址欄。

Windows漏洞與一個沒有正確地驗證用戶許可權的元件有關。據FrSirt在發佈的第二份安全公告中表示，駭客可以利用這一漏洞獲得受保護檔中的資訊。這一漏洞影響Windows Vista、XP、2000、Windows Server 2003。

微軟正對上周遭公佈的這兩個漏洞進行調查。微軟一名代表說，這兩個漏洞還沒有被用來發動攻擊，要利用它們相當困難。只有在用戶存取一個惡意網站，並在位址欄中輸入一個可信任網站的位址時，駭客才能夠成功地利用第一個漏洞。

微軟表示，只要在存取非信任網站前打開並使用一個新的IE視窗，用戶就能夠避開這一漏洞。

若要利用這一Windows漏洞，駭客必須登入到有漏洞的系統上，而且駭客只能獲得檔案資訊，而不是真正的檔案內容。

微軟這名代表表示，根據調查的結果，微軟可能發佈一份安全公告或提供修補軟體。