安全专家在一个网站上发表的报告中表示,这一缺陷能够使用户将恶意网站认为是银行等合法的网站,然后控制显示在弹出式窗口中的内容。该缺陷影响微软的IE、Mozilla 基金会的Mozilla 和Firefox 、Opera 、开放源代码的Konqueror 以及苹果公司的Safari。
网络安全技术总监托马斯在发送给CNET News.com 的一封电子邮件中说,浏览器既不会显示警告信息,也不会检查其它网站是否允许改变弹出式窗口中的内容。如果因用户点击了一个特定功能而使弹出式窗口被打开,用户没有理由怀疑窗口中显示的内容已经被恶意网站所改变。
安全专家已经在这个网站上演示了如何利用该缺陷。演示中的黑客会向用户发送花旗银行的网站,点击上面的一个图片就会显示出一个由软件控制的窗口。
微软公司表示,这种攻击利用了浏览器中的一个合法功能来欺骗用户。在发送给CNET News.com 的一份声明中,微软表示,我们最初的调查显示,报告描述了各主要浏览器中的一种操作,使网站能够打开或重新使用一个窗口而不显示地址栏。
对合法功能的非法利用是一种有助于黑客获取用户身份资料的最新安全威胁。上个月,出现了对点击标语式广告的互联网用户进行攻击的病毒,其它的缺陷使用户的计算机上能够被轻易地安装上广告件。
微软强调说,Windows XP SP2用户具有一定的反钓鱼式攻击能力。微软在一份声明中说,要求登陆的任何窗口中,财务或个人资料应当被加密,在窗口底部的状态栏中应当显示一个锁的图标。Windows XP SP2中的IE总是能够显示真实的状态,用户能够区别出真、假锁图标。
但安全专家表示,只要用户认为自己访问的是合法网站,他们根本不会这么仔细。它建议用户,当访问网上银行或网上零售商等有机密内容的网站时,最好只打开一个窗口。
(出处:
天极网)
本文地址:http://com.8s8s.com/it/it33307.htm