跨站腳本攻擊另微軟不得不再修復(fù)IE8漏洞

Win7之家（ airtaxifl.com）：跨站腳本攻擊另微軟不得不再修復(fù)IE8漏洞

研究人員Eduardo Vela Nava和David Lindsay上個星期在黑帽會議上演示了黑客如何利用IE8的跨站腳本過濾器對本來應(yīng)該有免疫能力的網(wǎng)站實施的攻擊�？缯灸_本過濾器是微軟去年發(fā)布的IE8測試版中的一項反惡意軟件功能。這個演示促使微軟決定更新IE8瀏覽器。研究人員稱，容易受到這種攻擊的網(wǎng)站包括微軟自己的Bing搜索引擎、 Digg、Google、Twitter、Wiki百科等許多網(wǎng)站。

這兩位研究人員稱，IE8使用一種“中性化”技術(shù)阻止跨站腳本攻擊的企圖，問題是攻擊者能夠為自己的目的操作這種機制。他們在黑帽會議上發(fā)表的論文稱，攻擊者能夠利用這種行為阻止客戶端安全功能發(fā)揮作用。在某種情況下，這會導(dǎo)致在跨站腳本攻擊。

雖然微軟在今年1月和3月發(fā)布的應(yīng)急補丁MS10-002和MS10-018中已經(jīng)處理了Vela Nava和Lindsay提出的一些攻擊情況，但是，微軟本周一稱，它會發(fā)布一個跨站腳本過濾器更新軟件以阻止另一個可能的攻擊途徑。

微軟安全響應(yīng)中心的一位工程師David Ross在博客中稱，這種變化將解決黑帽歐盟會議上演示的一種腳本標簽攻擊情況。與安全補丁不同的是，IE8瀏覽器的跨站腳本過濾器一般是動態(tài)更新的并且是在后臺更新的。但是，微軟發(fā)言人本周二說，微軟計劃在6月份發(fā)布這個補丁而不是立即發(fā)布這個補丁是為了給企業(yè)一些時間進行測試。