微軟甫於本周三(10/18)發表該公司最新瀏覽器IE 7.0,丹麥資安業者Secunia在幾個小時後就指出IE 7.0含有「跨網域資訊洩露漏洞」(cross-domain information-disclosure),不過,微軟在接獲報告後旋即在部落格中澄清,表示該漏洞並非存在IE中,而是Outlook Express的元件。
Secunia宣稱該漏洞為一跨網域資訊洩露漏洞,表示當使用者被引誘連結到惡意網站,而且同時開啟另一金融網站,並登入及輸入個人資訊,那麼駭客就能竊取使用者資訊。
不過,要使用者連結到惡意網站,並同時開啟其他金融網站,而且要輸入可供竊取的機密資料之機率並不大,因此Secunia將此漏洞列為較不嚴重的風險等級。
Secunia並且表示此一漏洞影響Windows XP SP2作業系統版本上的IE 7.0,並且公布該漏洞的概念性驗證程式。
微軟安全程式經理Christopher Budd在接獲報告後旋即在部落格上發表聲明,表示此一報告技術上來說是不對的,該漏洞與IE 7.0或其他IE版本根本無關。Christopher Budd說明,此漏洞是藏在Outlook Express的元件中,只是經由瀏覽器觸發。
有趣的是,Secunia在今年4月就曾指出在IE 6.0中擁有一樣的漏洞,但當時微軟似乎並未向Secunia說明該漏洞並非瀏覽器漏洞,才會導致這起烏龍事件。
Christopher Budd說微軟正在調查該漏洞而且密切注意中,目前並未接獲任何相關攻擊報告。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement