一名以色列駭客Matan Gillon在上周公布一個針對IE漏洞的驗證概念程式,並描述如何透過該漏洞取得使用者Google Desktop的桌面搜尋結果資訊,包括使用者帳號、密碼等重要資料。
該漏洞存在於微軟瀏覽器中的CSS(Cascading Style Sheets),當微軟瀏覽器處理網頁輸出時是採用CSS格式,該CSS格式也被廣泛運用在網站呈現上,此一漏洞讓IE可以接收無效的CSS格式,使得駭客能夠透過該漏洞取得Google Desktop的搜尋結果。
Google Desktop只是一項被拿來作實驗的應用程式,理論上,針對該漏洞的驗證程式能夠取得使用者電腦中的任何資料,甚至接管使用者電腦。
Google發言人Sonya Boralv也澄清說,根據該公司初步的調查,這個攻擊程式碼肇因於IE,並非Google Desktop的任何漏洞。不過Sonya Boralv也表示,Google從這個案例中學到不少,將會持續關心這種情況。
Matan Gillon表示,駭客只要引誘使用者連上惡意網站,使用者的電腦就可能會遭受攻擊。
微軟已經著手調查此漏洞,微軟正在研究這個可能會影響到IE內跨網域(cross-domain)保護的問題。如果該網站使用某種特定的組態設定,這個問題有可能會讓攻擊者讀取到另一個不同網址的網站內容。微軟也表示尚未發現有針對該漏洞的攻擊行動。
Matan Gillon指出,有數千個網站可能會被攻擊,但在微軟修復此一問題前,尚沒有一個簡單的方式可以對抗此漏洞。
此外,Matan Gillon的實驗發現,僅有IE存在此一漏洞,其他瀏覽器如Firefox及Opera則不會受影響,因此Matan Gillon建議使用者改用其他瀏覽器或是關閉IE中的JavaScript功能。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12