|
|
危險(xiǎn)的XSS漏洞中發(fā)現(xiàn)完全修補(bǔ)IE用戶憑證面臨風(fēng)險(xiǎn)。灰鴿子下載,遠(yuǎn)程控制軟件
1.jpg (43.17 KB, 下載次數(shù): 468)
下載附件
黑客
2015-2-4 13:54 上傳
一個(gè)新的通用cross-scripting漏洞中發(fā)現(xiàn)fully-patched版本的微軟的Internet Explorer瀏覽器允許攻擊者繞過(guò)安全竊取用戶憑證和發(fā)射釣魚攻擊。
缺陷的細(xì)節(jié)和概念驗(yàn)證代碼發(fā)布到充分披露郵件列表大衛(wèi)•利奧Deusen研究員的信息安全公司。
他的測(cè)試顯示漏洞允許攻擊者繞過(guò)同源策略(SOP)瀏覽器的安全設(shè)置,灰鴿子使用教程。
SOP阻止網(wǎng)站訪問(wèn)或修改瀏覽器cookie或其他內(nèi)容由單獨(dú)的網(wǎng)站,以免篡改用戶身份驗(yàn)證。
概念驗(yàn)證詳細(xì)與缺陷披露顯示,當(dāng)用戶打開(kāi)一個(gè)有針對(duì)性的頁(yè)面在IE 11在Windows 7或8.1,鏈接出現(xiàn)在什么似乎是一個(gè)合法的網(wǎng)站。
點(diǎn)擊鏈接時(shí),該網(wǎng)站在一個(gè)新窗口打開(kāi)。新窗口繼續(xù)顯示合法的域名,但這又會(huì)引起網(wǎng)站與文本的秒數(shù)后選擇的攻擊者,在這種情況下“Deusen砍”。
合法的域名的外觀——盡管正在從一個(gè)單獨(dú)的域加載的頁(yè)面——意味著用戶可以欺騙了可信的釣魚攻擊。
漏洞也意味著攻擊者可以訪問(wèn)認(rèn)證cookie網(wǎng)站登錄使用的用戶,這可能導(dǎo)致IE用戶的個(gè)人資料被盜。
喬伊福勒,社交媒體公司Tumblr,安全專家說(shuō),他的測(cè)試發(fā)現(xiàn)攻擊還繞過(guò)正常的HTTP為安全通信加密的HTTPS協(xié)議。
福勒說(shuō),攻擊者還可以利用漏洞繞過(guò)即內(nèi)容安全策略通過(guò)注入HTML標(biāo)記,而不是使用Javascript。
漏洞在ie版本運(yùn)行在Windows 7和11 8.1。
iTnews在一份聲明中,微軟說(shuō)它不知道任何情況下一直積極利用該漏洞,安全更新和確認(rèn)工作。
“要利用這一點(diǎn),敵人會(huì)首先需要吸引用戶惡意網(wǎng)站,經(jīng)常通過(guò)網(wǎng)絡(luò)釣魚。SmartScreen,默認(rèn)在新版本的ie瀏覽器,幫助防止釣魚網(wǎng)站,”發(fā)言人說(shuō)。
“我們繼續(xù)鼓勵(lì)客戶避免打開(kāi)鏈接不可信來(lái)源和訪問(wèn)不可信的網(wǎng)站,和離開(kāi)時(shí)注銷網(wǎng)站來(lái)幫助保護(hù)他們的信息。” |
|
加載中...
發(fā)表于 2015-2-4 13:54:47
QQ好友和群
收藏
發(fā)表于 2015-2-4 13:54:49
