微軟最新版本的IE瀏覽器存在一個安全漏洞,能夠對安全的網站實施嚴重的安全攻擊。據Register網站的兩個消息來源稱,IE8 瀏覽器中的這個安全漏洞能夠被利用進行跨站腳本攻擊。微軟在幾個月前就得到了這個安全漏洞的通知。具 有諷刺意味的是,這個安全漏洞存在於微軟爲IE 8增加的阻止對網站實施跨站腳本攻擊的保護措施中。利用這個安全漏洞實施攻擊的方法是使用一種名爲輸出編碼的技術重新編寫有安全漏洞的網頁,從而用有害的 字元和值替換網頁上更安全的字元和值。谷歌一位發言人證實IE 8存在一個嚴重的安全漏洞,但是不願意提供具體細節。
目前還不清楚 IE 8中的保護措施是如何引起安全的網站出現跨站腳本攻擊安全漏洞的。但是,Aspect Security公司高級應用程式安全工程師Michael Coates推測說,這個安全漏洞可能會引起IE 8重寫網頁,讓新的值引起對安全網站的攻擊。他說,如果黑客知道IE 8中的這個安全漏洞的工作方式實際上就是製作那個輸出的編碼,然後創建一個攻擊者熟悉的字串,就可以實施實際的攻擊。黑客利用這個漏洞輸入一個值就可以 導致對這個網頁的攻擊。這是對沒有安全漏洞的網頁實施攻擊的一種方法。
微軟星期四下午對The Register網站說:“微軟正在調查新公開的IE瀏覽器中的安全漏洞。我們目前還不知道任何利用這個安全漏洞實施的攻擊以及對用戶的影響。”一旦調查結束,微軟將採取適當的措施,包括發佈補丁或者提供如何保護自己防止這個安全漏洞的措施。
