IT之家訊 今日,微軟IE瀏覽器曝出了新的漏洞,此漏洞在最新版IE中也存在,攻擊者可利用此漏洞訪問用戶登陸憑證,雖然發(fā)布者使用的操作系統(tǒng)為Win7,但筆者使用Win10預(yù)覽版9926進行測試依然有效,所以我們可以暫時認(rèn)為該漏洞影響目前從Windows7到Win8/Win8.1以及Windows10所有主流Windows系統(tǒng)。
這是一個通用跨站腳本,并且相關(guān)資料被公布在了網(wǎng)絡(luò)中。
有相關(guān)人士為我們進行了詳細(xì)的演示:
首先,網(wǎng)站dailymail.co.uk中的內(nèi)容被外部域改變,當(dāng)攻擊者占有cookie后,便可以訪問只有用戶才有權(quán)限訪問的區(qū)域,例如瀏覽歷史,卡片資料以及一些敏感信息等,同時攻擊者還可以利用此漏洞來誘使用戶前往釣魚網(wǎng)站。
微軟目前已經(jīng)了解到該漏洞的存在,并且修復(fù)工作已經(jīng)開展:
我們此前未意識到此漏洞已經(jīng)可以被利用,但現(xiàn)在修復(fù)工作已經(jīng)展開。要利用此漏洞,攻擊者一般都會先通過釣魚來誘使用戶前往被惡意篡改的網(wǎng)站,而最新版IE瀏覽器中默認(rèn)開啟的SmartScreen可以有識別釣魚網(wǎng)站,我們建議用戶不要打開來源不明的鏈接或訪問不受信任的站點,并且最好可以在每次結(jié)束訪問后退出登錄以保護自己的個人信息。(Via:MSNews)
注意:除非你是專業(yè)人員,否則不要模仿圖片中的操作過程,一切后果自行承擔(dān)。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。