Google工程師戳微軟:IE的CSS漏洞該補了!
文/郭和杰 (記者) 2010-09-08
這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,Google安全工程師還指出,有證據可證明微軟在2008年時就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。
在微軟工程師上周五(9/3)揭露IE一個陳年的CSS安全漏洞之後,微軟終於開始調查這個可能影響Twitter及Web-mail的老問題。
這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,而Google安全工程師Chris Evans上周在Full Disclosure mailing list揭露這個IE安全漏洞時,開宗明義就表示:我希望這隻臭蟲能被修好……。
Evans表示,在最新版的IE 8瀏覽器裡有個很討厭的漏洞,之前請廠商(微軟)修補,卻沒成功。他還指出,該漏洞可以讓任意網站綁架受害的電腦發出像是Tweets一類的社交訊息。 Evans並建立一網頁展示這種攻擊。
他分析指出,這種攻擊的問題並不是出在Twitter,而完全是利用IE的臭蟲,而且,受影響的很可能還包括了更早的IE版本。
事實上這個漏洞Evans在2008年底時就已經揭露,當時Evants是以Yahoo的信箱服務當範例在說明,而受影響的遍及了五大瀏覽器。Evants也強調,有證據可證明微軟在2008年時 就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。
根據Evants的說明,該漏洞可能讓駭客利用瀏覽器載入CSS樣試表(CSS style sheets)時注入貌似合法的字串,接著駭客可進一步讓受害網站資料的URL出現在背景的映像裡,然後從網頁伺服器的logs裡蒐集相關的資料。
Evants並提供了他與卡內基美隆大學所合作發表的相關防治研究報告。該報告指出,這種名為「跨源」(Cross-origin)的CSS攻擊,可利用注入CSS來竊取受害網站的機密資料,而相關的防治方法已部署到Firefox、Chrome,及 Safari,還有Opera。
根據該報告的說明,這種Cross-origin的CSS攻擊最早在2002年見諸於文字說明,後來分別在2005年及2008年有兩次發現。截至目前為 止,所知的攻擊都需要有JavaScript,而且大多數都和IE有關。
就在Evants揭露這個陳年漏洞之後,微軟的安全回應中心在Twitter上表示,已經注意到被揭露的IE漏洞,並開始著手調查。不過根據國外媒體引述微軟回應指出,微軟說目前為止還未發現有任何鎖定該漏洞的相關攻擊。(編譯/郭 和杰)
辛苦工作的您,想不想擁有一套自動「讓錢自動流進來」系統幫你創造被動收入呢?
您要對自己的未來說「Yes」或「No」呢?
VeMMA一個改變您一生的機會,請您一定要好好把握!
VEMMA維瑪居家創業系統~免推銷、易上手!
名人推薦:
- 【秘密】作者 包柏.普克特(Bob Proctor)強烈推薦
- 【窮爸爸富爸爸】 作者 羅勃特.T.清崎 公開推薦
如果您尋找的是...
- 一個正當合法的網路事業
- 一個永續經營的職涯規畫
- 一個可靠正派的大型企業
- 一個真正在家工作的經營模式
- 一個踏實有成就感的網路賺錢方法
- 一個不用出門就能進行的完整教育訓練
- 一個全力幫助您降低挫折感的簡易工作模式
那麼,現在就免費試用Vemmabuilder90 天!
試用Vemmabuilder簡單三步驟:
1. 輕鬆免費報名試用
2. 仔細看Email收到的信件內容,若未收到請確認垃圾信件夾
3. 仔細看Vemmabuilder網站及部落格內容,主動聯繫,積極深入了解
在VEMMA,真的沒有失敗的問題,只有時間的問題,以及您是不是真的"全心投入"喔~
進源誠摯邀請您親身來體驗Vemmabuilder90天,請您以開放的心再給網路事業一個機會,也給自己一個在家工作、月入6~12萬的機會!
加入Vemmabulider後歡迎與我們聯絡,讓我們引導您使用系統!
請放心,進源絕不向您推銷任何東西!
如有任何問題,歡迎與我們聯絡:
SKYPE:kelvinlim5107
E-mail:limjieyi48@yahoo.com
手機:+60166876001
留言列表
vemma 公司 (4)