|
|
危險的XSS漏洞中發現完全修補IE用戶憑證面臨風險。灰鴿子下載,遠程控制軟件
1.jpg (43.17 KB, 下載次數: 468)
下載附件
黑客
2015-2-4 13:54 上傳
一個新的通用cross-scripting漏洞中發現fully-patched版本的微軟的Internet Explorer瀏覽器允許攻擊者繞過安全竊取用戶憑證和發射釣魚攻擊。
缺陷的細節和概念驗證代碼發布到充分披露郵件列表大衛•利奧Deusen研究員的信息安全公司。
他的測試顯示漏洞允許攻擊者繞過同源策略(SOP)瀏覽器的安全設置,灰鴿子使用教程。
SOP阻止網站訪問或修改瀏覽器cookie或其他內容由單獨的網站,以免篡改用戶身份驗證。
概念驗證詳細與缺陷披露顯示,當用戶打開一個有針對性的頁面在IE 11在Windows 7或8.1,鏈接出現在什么似乎是一個合法的網站。
點擊鏈接時,該網站在一個新窗口打開。新窗口繼續顯示合法的域名,但這又會引起網站與文本的秒數后選擇的攻擊者,在這種情況下“Deusen砍”。
合法的域名的外觀——盡管正在從一個單獨的域加載的頁面——意味著用戶可以欺騙了可信的釣魚攻擊。
漏洞也意味著攻擊者可以訪問認證cookie網站登錄使用的用戶,這可能導致IE用戶的個人資料被盜。
喬伊福勒,社交媒體公司Tumblr,安全專家說,他的測試發現攻擊還繞過正常的HTTP為安全通信加密的HTTPS協議。
福勒說,攻擊者還可以利用漏洞繞過即內容安全策略通過注入HTML標記,而不是使用Javascript。
漏洞在ie版本運行在Windows 7和11 8.1。
iTnews在一份聲明中,微軟說它不知道任何情況下一直積極利用該漏洞,安全更新和確認工作。
“要利用這一點,敵人會首先需要吸引用戶惡意網站,經常通過網絡釣魚。SmartScreen,默認在新版本的ie瀏覽器,幫助防止釣魚網站,”發言人說。
“我們繼續鼓勵客戶避免打開鏈接不可信來源和訪問不可信的網站,和離開時注銷網站來幫助保護他們的信息。” |
|
加載中...
發表于 2015-2-4 13:54:47
QQ好友和群
收藏
發表于 2015-2-9 09:57:30
