Google工程師戳微軟:IE的CSS漏洞該補了! | 即時新聞 | iThome online
Google工程師戳微軟:IE的CSS漏洞該補了!
文/郭和杰 (記者) 2010-09-08
這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,Google安全工程師還指出,有證據可證明微軟在2008年時就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。
在微軟工程師上周五(9/3)揭露IE一個陳年的CSS安全漏洞之後,微軟終於開始調查這個可能影響Twitter及Web-mail的老問題。
這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,而Google安全工程師Chris Evans上周在Full Disclosure mailing list揭露這個IE安全漏洞時,開宗明義就表示:我希望這隻臭蟲能被修好……。
Evans表示,在最新版的IE 8瀏覽器裡有個很討厭的漏洞,之前請廠商(微軟)修補,卻沒成功。他還指出,該漏洞可以讓任意網站綁架受害的電腦發出像是Tweets一類的社交訊息。 Evans並建立一網頁展示這種攻擊。
他分析指出,這種攻擊的問題並不是出在Twitter,而完全是利用IE的臭蟲,而且,受影響的很可能還包括了更早的IE版本。
事實上這個漏洞Evans在2008年底時就已經揭露,當時Evants是以Yahoo的信箱服務當範例在說明,而受影響的遍及了五大瀏覽器。Evants也強調,有證據可證明微軟在2008年時 就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。
根據Evants的說明,該漏洞可能讓駭客利用瀏覽器載入CSS樣試表(CSS style sheets)時注入貌似合法的字串,接著駭客可進一步讓受害網站資料的URL出現在背景的映像裡,然後從網頁伺服器的logs裡蒐集相關的資料。
Evants並提供了他與卡內基美隆大學所合作發表的相關防治研究報告。該報告指出,這種名為「跨源」(Cross-origin)的CSS攻擊,可利用注入CSS來竊取受害網站的機密資料,而相關的防治方法已部署到Firefox、Chrome,及 Safari,還有Opera。
根據該報告的說明,這種Cross-origin的CSS攻擊最早在2002年見諸於文字說明,後來分別在2005年及2008年有兩次發現。截至目前為 止,所知的攻擊都需要有JavaScript,而且大多數都和IE有關。
就在Evants揭露這個陳年漏洞之後,微軟的安全回應中心在Twitter上表示,已經注意到被揭露的IE漏洞,並開始著手調查。不過根據國外媒體引述微軟回應指出,微軟說目前為止還未發現有任何鎖定該漏洞的相關攻擊。(編譯/郭 和杰)
~~~~~~~~~~
在VEMMA真的沒有失敗的問題,只有時間的問題,以及你是不是真的"全心投入"喔~~~
加盟VEMMA簡單三步驟:
1.輕鬆免費報名試用
2.仔細看 E-mail 收到的信件內容,若未收到請確認垃圾信件夾
3.仔細看VB網站及相關部落格內容和參與我們的線上學習聊天室及相關線上會議,主動聯繫,積極深入了解
這是富爸爸窮爸爸作者唯一推薦全自動進人系統~最嚮往的被動收入,免費試用全自動互助創業系統***
剛中文化,即將引爆華人商機,趕快先免費試用看看,反正不用錢,先搶先贏喔^^
全世界每一秒鐘都有人加入我們的行列!!~
機會稍縱即逝~請把握住這班已經啟動的成功列車!
辛苦工作的您,想不想擁有一套"讓錢自動流進來"系統幫你創造被動收入呢?
現在就可以立即開始,讓 Vemmabuilder 系統幫你賺錢!!
歡迎您立即免費試用90天喔^^!
加入試用後 ,請與我聯絡,讓我引導你如何使用自動賺錢系統!
至於決定權依然在你身上,龍哥決不過問或推銷的唷!
(因為龍哥真的不會推銷...)
SKYPE:vemma888
e-mail:vemma888@gmail.com
MSM:estore119@yahoo.com.tw
電話:0931727735(亞太,服務時間:0900~2200)
0929582688(威寶,服務時間:2000~2200)
vemma 龍哥 I vemma 果汁 I vemmabuilder I vemma 維碼 I vemma 網路創業 I 美商維瑪 vemma I vemma888 I vemma opp I vemma獎金制度 I vemma taiwan I直銷 vemma I 台灣維碼 vemma I 美商 vemma I 網路行銷 I 在家工作 I 兼職 I 直銷 I 電子商務 I 財務自由 I 健康生活 I 創業商機 I 網路工作
留言列表