以色列研究人員揭露IE 7網釣漏洞

以色列安全研究人員Aviv Raff近日在網路上揭露了微軟最新瀏覽器IE 7的漏洞，可能被駭客用來進行網釣攻擊。

Aviv Raff說明該漏洞是存在於IE 7的本機資源（local resource）功能中，本機資源為一產生連結的源頭，含有連結生效所需的資訊，當使用者連結失敗的時候，本機資源就會提供一「更新該網頁」（Refresh the page）的連結，但設計漏洞讓此一更新連結可能被駭客用來進行釣魚攻擊。該漏洞影響Windows XP及Windows Vista上的IE 7。

Aviv Raff說，駭客能夠將此一更新連結導向一個含有可信任網址的網站，但該站內容卻是由駭客偽造的，並誘使使用者提供個人機密資訊，例如將使用者導向偽造的銀行網站，並要求提供身份或信用卡資訊等。

國外媒體紛向微軟求證此事，微軟表示他們並未得知有任何針對該漏洞所進行的實際攻擊，同時指出該公司正在調查此一漏洞，得出結果後就會採取適當措施。（編譯/陳曉莉）