admin 发表于 2015-2-4 13:54:47

危险的XSS漏洞中发现完全修补IE用户凭证面临风险。灰鸽子下载,远程控制软件

危险的XSS漏洞中发现完全修补IE用户凭证面临风险。灰鸽子下载,远程控制软件

一个新的通用cross-scripting漏洞中发现fully-patched版本的微软的Internet Explorer浏览器允许攻击者绕过安全窃取用户凭证和发射钓鱼攻击。
缺陷的细节和概念验证代码发布到充分披露邮件列表大卫•利奥Deusen研究员的信息安全公司。
他的测试显示漏洞允许攻击者绕过同源策略(SOP)浏览器的安全设置,灰鸽子使用教程。
SOP阻止网站访问或修改浏览器cookie或其他内容由单独的网站,以免篡改用户身份验证。
概念验证详细与缺陷披露显示,当用户打开一个有针对性的页面在IE 11在Windows 7或8.1,链接出现在什么似乎是一个合法的网站。
点击链接时,该网站在一个新窗口打开。新窗口继续显示合法的域名,但这又会引起网站与文本的秒数后选择的攻击者,在这种情况下“Deusen砍”。
合法的域名的外观——尽管正在从一个单独的域加载的页面——意味着用户可以欺骗了可信的钓鱼攻击。
漏洞也意味着攻击者可以访问认证cookie网站登录使用的用户,这可能导致IE用户的个人资料被盗。
乔伊福勒,社交媒体公司Tumblr,安全专家说,他的测试发现攻击还绕过正常的HTTP为安全通信加密的HTTPS协议。
福勒说,攻击者还可以利用漏洞绕过即内容安全策略通过注入HTML标记,而不是使用Javascript。
漏洞在ie版本运行在Windows 7和11 8.1。
iTnews在一份声明中,微软说它不知道任何情况下一直积极利用该漏洞,安全更新和确认工作。
“要利用这一点,敌人会首先需要吸引用户恶意网站,经常通过网络钓鱼。SmartScreen,默认在新版本的ie浏览器,帮助防止钓鱼网站,”发言人说。
“我们继续鼓励客户避免打开链接不可信来源和访问不可信的网站,和离开时注销网站来帮助保护他们的信息。”

ssnyw 发表于 2015-2-4 13:54:49

每次都这么轻松的抢到沙发也是一种无奈:$

zy4293816 发表于 2015-2-5 19:06:16

希望电影,音乐什么的分开。

Viper 发表于 2015-2-9 09:57:30

看看,不发表意见~~~

sefsfsfsfesfefs 发表于 2015-2-9 14:33:26

有道翻译好用,编辑有空去试试啊。
页: [1]
查看完整版本: 危险的XSS漏洞中发现完全修补IE用户凭证面临风险。灰鸽子下载,远程控制软件