一般警告:請勿開啟 Internet Explorer,直至另行通知! Deusen 的安全研究員 David Leo 在該瀏覽器中發現了一個特別危險的零日漏洞。它可以將網路使用者困在虛假網站上並竊取他們的敏感資訊。它已經在 IE 11 和 IE 10 上進行了測試,甚至不放過 Spartan 全新的實驗渲染引擎。 Microsoft 於 10 月 13 日收到通知。補丁的創建正在進行中。
如果這個漏洞被認為如此嚴重,那是因為它允許您繞過瀏覽器中所謂的「同源」規則,該規則限制同一頁面上不同 Web 網域之間的互動。結果:由於此缺陷,駭客可以對網路使用者查閱的任何網頁進行任何「跨站腳本」(XSS) 攻擊。這就是 David Leo 將其稱為「通用 XSS 漏洞」的原因。“攻擊者可以竊取任何內容或將任何內容注入另一個網域”,指定研究人員。
惡意程式碼注入
具體來說,此缺陷使得創建惡意連結成為可能,使網路使用者產生訪問真實網頁(例如銀行網站)的印象,而該頁面的程式碼已被第三方秘密更改。因此,駭客可以顯示虛假的連線表單來竊取憑證,甚至竊取他的所有 cookie。
網路使用者只看到火,因為瀏覽器中顯示的位址始終保持不變,即使連線是 HTTPS。
例如,大衛·裡奧(David Leo)駭客攻擊了英國新聞網站《每日郵報》,並用“Hacked by Deusen”一詞替換了內容。
在 Microsoft 提供修復之前,建議使用其他瀏覽器,例如 Mozilla Firefox 或 Google Chrome。
另請閱讀:
Dailymotion 使用者被 Flash 零日漏洞困住– 02/02/2015
來源 :
Seclists.org
