危險的XSS漏洞中發(fā)現(xiàn)完全修補IE用戶憑證面臨風險.遠程控制軟件,灰鴿子下載

admin

危險的XSS漏洞中發(fā)現(xiàn)完全修補IE用戶憑證面臨風險.遠程控制軟件,灰鴿子下載

一個新的通用cross-scripting漏洞中發(fā)現(xiàn)fully-patched版本的微軟的Internet Explorer瀏覽器允許攻擊者繞過安全竊取用戶憑證和發(fā)射釣魚攻擊。
缺陷的細節(jié)和概念驗證代碼發(fā)布到充分披露郵件列表大衛(wèi)•利奧Deusen研究員的信息安全公司。
他的測試顯示漏洞允許攻擊者繞過同源策略(SOP)瀏覽器的安全設置。
SOP阻止網(wǎng)站訪問或修改瀏覽器cookie或其他內容由單獨的網(wǎng)站,以免篡改用戶身份驗證。
概念驗證詳細與缺陷披露顯示,當用戶打開一個有針對性的頁面在IE 11在Windows 7或8.1,鏈接出現(xiàn)在什么似乎是一個合法的網(wǎng)站。
點擊鏈接時,該網(wǎng)站在一個新窗口打開。新窗口繼續(xù)顯示合法的域名,但這又會引起網(wǎng)站與文本的秒數(shù)后選擇的攻擊者,在這種情況下“Deusen砍”。
合法的域名的外觀——盡管正在從一個單獨的域加載的頁面——意味著用戶可以欺騙了可信的釣魚攻擊。
漏洞也意味著攻擊者可以訪問認證cookie網(wǎng)站登錄使用的用戶,這可能導致IE用戶的個人資料被盜。
喬伊福勒,社交媒體公司Tumblr,安全專家說,他的測試發(fā)現(xiàn)攻擊還繞過正常的HTTP為安全通信加密的HTTPS協(xié)議。
福勒說,攻擊者還可以利用漏洞繞過即內容安全策略通過注入HTML標記,而不是使用Javascript。
漏洞在ie版本運行在Windows 7和11 8.1 灰鴿子遠程控制軟件，灰鴿子使用教程。
iTnews在一份聲明中,微軟說它不知道任何情況下一直積極利用該漏洞,安全更新和確認工作。
“要利用這一點,敵人會首先需要吸引用戶惡意網(wǎng)站,經(jīng)常通過網(wǎng)絡釣魚。SmartScreen,默認在新版本的ie瀏覽器,幫助防止釣魚網(wǎng)站,”發(fā)言人說。
“我們繼續(xù)鼓勵客戶避免打開鏈接不可信來源和訪問不可信的網(wǎng)站,和離開時注銷網(wǎng)站來幫助保護他們的信息。”