|
危险的XSS漏洞中发现完全修补IE用户凭证面临风险.远程控制软件,灰鸽子下载
一个新的通用cross-scripting漏洞中发现fully-patched版本的微软的Internet Explorer浏览器允许攻击者绕过安全窃取用户凭证和发射钓鱼攻击。
缺陷的细节和概念验证代码发布到充分披露邮件列表大卫•利奥Deusen研究员的信息安全公司。
他的测试显示漏洞允许攻击者绕过同源策略(SOP)浏览器的安全设置。
SOP阻止网站访问或修改浏览器cookie或其他内容由单独的网站,以免篡改用户身份验证。
概念验证详细与缺陷披露显示,当用户打开一个有针对性的页面在IE 11在Windows 7或8.1,链接出现在什么似乎是一个合法的网站。
点击链接时,该网站在一个新窗口打开。新窗口继续显示合法的域名,但这又会引起网站与文本的秒数后选择的攻击者,在这种情况下“Deusen砍”。
合法的域名的外观——尽管正在从一个单独的域加载的页面——意味着用户可以欺骗了可信的钓鱼攻击。
漏洞也意味着攻击者可以访问认证cookie网站登录使用的用户,这可能导致IE用户的个人资料被盗。
乔伊福勒,社交媒体公司Tumblr,安全专家说,他的测试发现攻击还绕过正常的HTTP为安全通信加密的HTTPS协议。
福勒说,攻击者还可以利用漏洞绕过即内容安全策略通过注入HTML标记,而不是使用Javascript。
漏洞在ie版本运行在Windows 7和11 8.1 灰鸽子远程控制软件,灰鸽子使用教程。
iTnews在一份声明中,微软说它不知道任何情况下一直积极利用该漏洞,安全更新和确认工作。
“要利用这一点,敌人会首先需要吸引用户恶意网站,经常通过网络钓鱼。SmartScreen,默认在新版本的ie浏览器,帮助防止钓鱼网站,”发言人说。
“我们继续鼓励客户避免打开链接不可信来源和访问不可信的网站,和离开时注销网站来帮助保护他们的信息。” |
|