您现在的位置: 贯通日本 >> 资讯 >> 新闻对照0408 >> 正文

IE出现可伪装地址栏安全漏洞!

作者:未知  来源:日经BP   更新:2004-8-19 4:01:00  点击:  切换到繁體中文

丹麦安全商Secunia816日公开了Internet ExplorerIE)中发现的新安全漏洞(英文),如果访问做过手脚的Web网页,地址栏就会显示与实际访问网站不符的URL。这是一个可能被在线欺诈“phishing”等恶意利用的安全漏洞,目前尚未公开补丁等,对策是不要点击可疑的链接,或将活动脚本设置为无效等。
  安全漏洞由Liu Die Yu发现。Secunia在验证其投至安全相关邮件列表的投稿后,在自己的网站上公开此次的漏洞。Secunia已确认:在安装所有补丁的Windows 2000 SP4XP SP1中运行的IE 6中均存在此漏洞。另外,以前版本也可能受到影响。不过,对于Windows XP SP2,该公司表示无法使用目前已知的攻击手段(没有明确不会受到影响)。

  据Secunia介绍,出现此次安全漏洞的原因是IE不能适时更新地址栏信息。IE打开新的浏览器窗口,并在这一窗口上实施一系列动作后,就会在地址栏里显示与实际页面不符的的URL。如果突破这一安全漏洞,可以把带有恶意的网页伪装成著名企业的网页。

  图片为Secunia公开的示范网页(点击放大图片(英文)),虽然地址栏中显示“www.yahoo.com”,但实际上却是Secunia的网页。

  美国微软尚未公开安全信息与补丁。Secunia指出,对策是将IE的活动脚本设置为无效,或使用其他的浏览器。另外,重要的一点就是不要轻易点击不可靠的Web网站与邮件中的链接。只要不访问做过手脚的Web网页,地址栏就不会被伪装。

デンマークSecuniaなどは816日,Internet ExplorerIE)に見つかった新たなセキュリティ・ホールを公表した。細工が施されたWebページへアクセスすると,実際にアクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。オンライン詐欺「フィッシング」などに悪用可能なセキュリティ・ホールである。パッチなどは公開されていない。対策は,怪しいリンクをクリックしないことや,アクティブスクリプトを無効にすることなど。

 セキュリティ・ホールを発見したのは,Liu Die Yu氏。同氏がセキュリティ関連メーリング・リングに投稿した内容を,Secuniaが検証して同社のサイトで公表した。Secuniaでは,すべてのパッチを適用したWindows 2000 SP4およびXP SP1で稼働するIE 6で,今回のセキュリティ・ホールを確認した。また,これら以前のバージョンでも,影響を受けるだろうとしている。ただし,Windows XP SP2に対しては,現在考えられている攻撃手法は使えないという(「影響を受けない」とは明言していない)。

 Secuniaによると,今回のセキュリティ・ホールは,IEがアドレス・バーの情報を適切に更新できないことが原因。IEが新しいブラウザ・ウインドウを開いて,そのウインドウ上である一連のアクションを実施すると,アドレス・バーの表示と実際に表示しているページのURLが一致しなくなる。このセキュリティ・ホールを突けば,悪意があるページを有名企業のページに見せかけることができる。

 写真はSecuniaが公開するデモ・ページ(写真の拡大表示)。アドレス・バーの表示は「www.yahoo.com」だが,表示されているのはSecuniaのページである。

 米Microsoftからはセキュリティ情報やパッチは公開されていない。Secuniaでは,対策としてIEのアクティブスクリプトを無効にすることと,別のブラウザを使うことを挙げている。信頼できないWebサイトやメール中のリンクを安易にクリックしないことも重要である。細工を施したWebページにアクセスしなければ,アドレス・バーを偽装されることはない。

 


 

新闻录入:贯通日本语    责任编辑:贯通日本语 

  • 上一篇新闻:

  • 下一篇新闻:
  •  
     
     
    网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     

    注册高达赢取大奖!

    09年2月《贯通日本语》杂志

    奥巴马来广岛,安倍去珍珠港吗

    打造优质产品,美的工匠极致追

    探访东京近郊“老电影海报街”

    日剧《世界上最难的恋爱》收视

    广告

    广告