圖片來源: 

來自安全顧問公司Deusen的研究人員David Leo透過Full Disclosure郵件論壇表示,IE 11含有一個跨站指令碼(Cross Site Scripting, XSS)攻擊漏洞,讓駭客可以完全繞過同源法則(Same Origin Policy)從外部注入惡意程式到特定網站或是竊取特定網站的資料。

同源法則為網路應用安全的一個重要概念,它限制程式碼(例如JavaScript)只能存取或操作同一網域名稱的DOM,但該漏洞卻允許駭客從外部網站在另一個網站注入程式。

Leo展示了該漏洞,當使用者以IE 11造訪Daily Mail網站時,會跳出一個視窗,顯示Daily Mail網站已遭他挾持。當網站遭到相關攻擊時,駭客就能竄改或竊取該站的內容,包括記錄造訪該站的使用者所輸入的內容。此一漏洞影響了Windows 7與Windows 8.1上所執行的IE 11。

Leo已經在去年10月向微軟提報該漏洞。微軟則表示,目前尚未發現針對該漏洞的實際攻擊行動,同時也正在進行修補。此外,要攻擊該漏洞駭客必須先引誘使用者造訪惡意網站,而且用來阻擋網釣網站的SmartScreen功能在較新版IE的預設值都是啟用的。微軟並呼籲使用者避免開啟不明來源的網站連結。(編譯/陳曉莉)

 


熱門新聞

Advertisement