微软正在调查报道的IE8新漏洞。根据Full Disclosure邮件列表的披露,攻击者可以利用该漏洞窃取数据或破坏社会网络。
IE CSS bug使攻击者可以将浏览器定向到一个恶意网站,迫使受害者发送信息到Twitter或其他社交网站上。这种跨域(cross-origin)攻击将影响浏览器处理CSS样式表单的方式。它可以劫持用户的认证浏览会话,窃取个人信息(即使JavaScript被禁用)。
谷歌工程师Chris Evans在邮件列表中披漏了该IE漏洞。Chris Evans是一名安全研究员,他将他在渗透测试、代码审计和黑盒分析中所发现的安全漏洞记录了下来。
跨域攻击的目标是CSS,它已在去年12月被披露。其他浏览器制造商,包括Apple、Google、Mozilla和Opera,已经纠正了该错误。
Evans说,“我没有成功说服微软修复该漏洞,它是一个IE bug,不关Twitter的事,现在还没有合适的解决办法。”
Evans说该漏洞可能在2008年就存在了,可能已经影响了IE的早期版本。为了利用该漏洞,攻击者需要让受害者点击一个链接。Evans写道,他推测,短的URL可能会被利用,并引起严重的安全问题。
DLL load hijacking漏洞
微软也正在解决报道的DLL hijacking漏洞。微软在上周的安全公告中发布了一个更新,并敦促用户部署新工具和自动修复程序来临时解决该问题。
该漏洞影响应用程序,包括可以在Windows中共向文件的第三方应用程序。微软表示他将修复该漏洞。攻击者可以使用该漏洞在受害者的机器上执行代码,但是微软将该漏洞定义为“重要”,因为它需要用户来交互。用户需要点击一系列警告框和对话框才能打开企图利用该漏洞的恶意文件。
相关阅读