市场快讯
IE7、火狐又曝漏洞 恐被窃取账户
IE浏览器是众多用户上网最常用的工具了,他的漏洞直接影响着我们计算机的系统安全。然而浏览器暴露出的问题一直没有停顿过。近日新发布的 IE7 与 Firefox2 纷纷出现安全问题。
黑客可利用漏洞窃取 Firefox2 与 IE7 用户密码:
据报道 Firefox 2 和 IE 7 都存在一个缺陷,黑客可能利用该缺陷窃取用户的密码。该缺陷被其发现者罗伯特称作是“逆向跨站点请求”( RCSR ),它使黑客能够通过显示一个虚假的登录表单而窃取用户的帐户名和密码。也就是说该漏洞是利用这些浏览器中自动输入表单功能实现非法攻击的目的。由于在 Firefox 2 中表单自动输入功能更加强大, Firefox Password Manager 会自动地在表单中输入保存的帐户名和密码。因此 Firefox 2 更容易被黑客利用从而使数据会在用户不知情的情况下被发送给黑客的计算机。
漏洞现象——据漏洞发现者罗伯特称,利用该缺陷的代码已经出现在社交网站 MySpace.com 上,它会影响所有使用能够添加用户生成的 HTML 代码的博客或论坛的用户。另外 Firefox 和 IE 用户必须意识到,当访问可信赖的博客或论坛网站时,他们的资料可能会在不知不觉之间被窃取。
漏洞特点——由于该漏洞主要由浏览器中的表单自动输入功能造成的,所以虚假的网页不会显示出任何外部内容的蛛丝马迹,因此即使是最有安全意识的用户也可能上当受骗。
漏洞产生——黑客了解到浏览器中存在的表单自动输入功能,然后通过一个档案网页发动攻击,它利用特别设计的 HTML 隐藏真实的 MySpace 内容,而显示它自己的登录表单。从而达到欺骗浏览用户的目的,进一步将用户输入的帐户名和密码发送给指定的地址,黑客利用此漏洞轻易获得非法帐号。
漏洞级别——专家指出目前“逆向跨站点请求” CSR 攻击成功的机率要大于跨站点脚本 (XSS) 攻击,因为在用户提交表单前, IE 和 Firefox 都不会检查表单数据的目的地。由于攻击是在可信赖的站点上发生的,所以浏览器也不会报警。另外 RCSR 攻击对于 Firefox 更为危险,因为除非 RCSR 表单出现在合法的登录网页上, IE 不会自动地填写保存的用户名和密码。
解决办法——目前 Mozilla 还没有发布补丁软件,不过有消息表明 Mozilla 正在开发针对 Firefox 2 的补丁软件,目前还不清楚早期版本的 Firefox 是否会受到同样影响。不过安全厂商 Secunia 已经建议用户关闭 Firefox 的“保存站点密码”选项,来避免黑客利用此漏洞进行攻击。另外对于管理网站的人员来说黑客要利用该缺陷必须在一个可信赖的网站上创建一个虚假的登录表单。所以网站管理员可以通过检查服务器代码中是否感染有 XSS 和 RCSR 代码来解决此问题。
另外专业安全人员通过研究发现目前在 IE 7 中的反钓工具条作用并不是很明显,他无法有效的检测诈骗网站,所以请各位将反钓鱼功能寄托在 IE 7 上的用户引起足够的注意。同时随着 VISTA 操作系统的诞生和逐渐被用户接纳,杀毒问题被人们重视起来,俄罗斯卡巴斯基实验室开发的强力杀毒软件 Kaspersky 发布了最新版本 Build 6.0.2.509 ,该版本已经兼容 VISTA 操作系统,从而成为继 NORTON 后又一个 VISTA 系统下的杀毒软件。
