在Google工程師上周五(9/3)揭露IE一個陳年的CSS安全漏洞之後,微軟終於開始調查這個可能影響Twitter及Web-mail的老問題。

這個漏洞可能讓駭客利用注入CSS碼的方式,竊取受害網站的機密資料,而Google安全工程師Chris Evans上周在Full Disclosure mailing list揭露這個IE安全漏洞時,開宗明義就表示:我希望這隻臭蟲能被修好……。

Evans表示,在最新版的IE 8瀏覽器裡有個很討厭的漏洞,之前請廠商(微軟)修補,卻沒成功。他還指出,該漏洞可以讓任意網站綁架受害的電腦發出像是Tweets一類的社交訊息。Evans並建立一網頁展示這種攻擊。

他分析指出,這種攻擊的問題並不是出在Twitter,而完全是利用IE的臭蟲,而且,受影響的很可能還包括了更早的IE版本。

事實上這個漏洞Evans在2008年底時就已經揭露,當時Evants是以Yahoo的信箱服務當範例在說明,而受影響的遍及了五大瀏覽器。Evants也強調,有證據可證明微軟在2008年時就知道這個漏洞。而目前,各大瀏覽器皆已修補此漏洞。

根據Evants的說明,該漏洞可能讓駭客利用瀏覽器載入CSS樣試表(CSS style sheets)時注入貌似合法的字串,接著駭客可進一步讓受害網站資料的URL出現在背景的映像裡,然後從網頁伺服器的logs裡蒐集相關的資料。

Evants並提供了他與卡內基美隆大學所合作發表的相關防治研究報告。該報告指出,這種名為「跨源」(Cross-origin)的CSS攻擊,可利用注入CSS來竊取受害網站的機密資料,而相關的防治方法已部署到Firefox、Chrome,及Safari,還有Opera。

根據該報告的說明,這種Cross-origin的CSS攻擊最早在2002年見諸於文字說明,後來分別在2005年及2008年有兩次發現。截至目前為止,所知的攻擊都需要有JavaScript,而且大多數都和IE有關。

就在Evants揭露這個陳年漏洞之後,微軟的安全回應中心在Twitter上表示,已經注意到被揭露的IE漏洞,並開始著手調查。不過根據國外媒體引述微軟回應指出,微軟說目前為止還未發現有任何鎖定該漏洞的相關攻擊。(編譯/郭和杰)


Advertisement

更多 iThome相關內容