資安研究人員Rosario Valotta在本月舉行的Swiss Cyber Storm與Hack in the Box等安全會議上揭露了微軟IE瀏覽器的零時差攻擊漏洞,宣稱所有視窗平台上的全部IE版本都含有該漏洞,駭客只要使用先進的cookie綁架(Cookiejacking)手法就能存取使用者電腦上所儲存的任何cookie。

Valotta說明,雖然IE能夠根據使用者對網站的信任程度分類不同的網站,且不允許不同類別的網站進行互動,此為IE的跨領域互動政策,然而,若iframe來源設定為cookie檔案,將會打破該政策,並讓iframe載入使用者端的cookie。

由於cookie的檔案系統路徑是根據視窗作業系統的使用者名稱,因此駭客進行攻擊前必須先猜測該名稱,此外,不同作業系統儲存cookie檔案的位置也不同,所以也得先知道使用者的作業系統版本;Valotta已找到透過IE功能取得使用者名稱的方式,也能分析出使用者的作業系統版本,之後就能利用這些資訊設定iframe的來源,並取得使用者電腦中的任何cookie。

仍處於運作中的cookie多半會儲存使用者登入特定網站的帳號與密碼,Valotta所展示的攻擊則是針對Facebook、Twitter與Gmail在使用者電腦上留下的cookie。

所幸,要自IE存取cookie還必須擁有使用者的互動,得靠使用者在螢幕上拖曳物件來竊取cookie,但根據路透社的報導,Valotta在Facebook上出版了一個裸女拼圖遊戲,3天內就取得了80個cookie。

微軟發言人Jerry Bryant回應媒體詢問時表示,微軟並不認為這是個高風險漏洞,因為它需要高度的使用者互動,使用者必須先造訪惡意網站,然後在網頁上拖曳物件,而且駭客還必須知道使用者已登入的網站才能竊取cookie。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容