IE8瀏覽器被發(fā)現(xiàn)新的安全漏洞 暫無實質(zhì)性影響

Win7之家（ airtaxifl.com）：IE8瀏覽器被發(fā)現(xiàn)新的安全漏洞 暫無實質(zhì)性影響

微軟最新版本的IE瀏覽器存在一個安全漏洞,能夠?qū)Π踩�的網(wǎng)站實施嚴(yán)重的安全攻擊。據(jù)Register網(wǎng)站的兩個消息來源稱,IE 8瀏覽器中的這個安全漏洞能夠被利用進(jìn)行跨站腳本攻擊。微軟在幾個月前就得到了這個安全漏洞的通知。具有諷刺意味的是,這個安全漏洞存在于微軟為IE 8增加的阻止對網(wǎng)站實施跨站腳本攻擊的保護(hù)措施中。利用這個安全漏洞實施攻擊的方法是使用一種名為輸出編碼的技術(shù)重新編寫有安全漏洞的網(wǎng)頁,從而用有害的 字符和值替換網(wǎng)頁上更安全的字符和值。谷歌一位發(fā)言人證實IE 8存在一個嚴(yán)重的安全漏洞,但是不愿意提供具體細(xì)節(jié)。

目前還不清楚IE 8中的保護(hù)措施是如何引起安全的網(wǎng)站出現(xiàn)跨站腳本攻擊安全漏洞的。但是,Aspect Security公司高級應(yīng)用程序安全工程師Michael Coates推測說,這個安全漏洞可能會引起IE 8重寫網(wǎng)頁,讓新的值引起對安全網(wǎng)站的攻擊。他說,如果黑客知道IE 8中的這個安全漏洞的工作方式實際上就是制作那個輸出的編碼,然后創(chuàng)建一個攻擊者熟悉的字符串,就可以實施實際的攻擊。黑客利用這個漏洞輸入一個值就可以導(dǎo)致對這個網(wǎng)頁的攻擊。這是對沒有安全漏洞的網(wǎng)頁實施攻擊的一種方法。

微軟星期四下午對The Register網(wǎng)站說:“微軟正在調(diào)查新公開的IE瀏覽器中的安全漏洞。我們目前還不知道任何利用這個安全漏洞實施的攻擊以及對用戶的影響。”一旦調(diào)查結(jié)束,微軟將采取適當(dāng)?shù)拇胧?包括發(fā)布補(bǔ)丁或者提供如何保護(hù)自己防止這個安全漏洞的措施。