外电消息,以色列黑客MatanGillon发现并且公布了微软IE浏览器中的一个安全漏洞。
黑客利用这个安全漏洞能够使用Google桌面软件远程访问用户的口令和信用卡号码等个人信息。
据newsfactor.com网站报道,以色列黑客Gillon介绍说,这个安全漏洞包含在IE浏览器中的交叉域名保护功能中,使用安装的GoogleDesktop2桌面搜索软件就可以利用完全使用补丁的IE浏览器中的这个安全漏洞。
Gillon在一个黑客网站上详细介绍了这个概念攻击证明的信息,并且警告说,这个安全漏洞非常像“交叉网站脚本”漏洞。IE浏览器设计上的瑕疵能够让攻击者窃取用户的个人数据或者冒充用户在远程域名上进行操作。攻击者要做的事情就是要吸引用户到一个恶意网站。
Gillon指出,没有简单的解决方案来防止这种攻击。这就意味着有数百万IE用户将受到这个安全漏洞的影响。Gillon表示,好奇心促使他研究使用Google桌面搜索软件通过网页攻击远程获取用户个人资料的可能性。他把这个问题解释为“严重的设计瑕疵”。这个漏洞可以扩展到任何使用IE交叉域名安全模式的应用程序。
Gillon说,这个设计上的瑕疵使IE浏览器允许违反其安全保护措施的一个关键组件,因为IE浏览器不能正确地解析在域名之间传输的文件。其它浏览器软件好像没有这个问题。
虽然微软已经承认了这个安全漏洞的存在,但是,微软表示,它还没有接到任何有关利用这个安全漏洞对IE用户实施攻击的报告。微软表示,它正在研制修复这个安全漏洞的补丁,并且可能发布一个安全公告,向用户提供临时的缓解这个安全漏洞影响的措施。
Gillon建议说,在微软提供解决方案之前,IE用户应禁用JavaScript功能或者使用其它的浏览器。
同时,Google认为这个问题是浏览器的问题,与Google桌面搜索软件的安全问题没有任何关系。Google说,该公司最近才听说这个问题。但是,Google不打算对这个问题展开调查。
