微软正在调查报道的IE8新漏洞。根据Full Disclosure
邮件列表的披露,攻击者可以利用该漏洞窃取数据或破坏社会网络。IE CSS bug使攻击者可以将浏览器定向到一个恶意网站,迫使受害者发送信息到Twitter或其他社交网站上。这种跨域(cross-origin)攻击将影响浏览器处理CSS样式表单的方式。它可以劫持用户的认证浏览会话,窃取个人信息(即使JavaScript被禁用)。谷歌工程师Chris Evans在邮件列表中披漏了该
IE漏洞。Chris Evans是一名安全研究员,他将他在
渗透测试、代码审计和黑盒分析中所发现的安全漏洞记录了下来。跨域攻击的目标是CSS,它已在去年12月被披露。其他浏览器制造商,包括Apple、Google、Mozilla和Opera,已经纠正了该错误。Evans说,“我没有成功说服微软修复该漏洞,它是一个IE bug,不关Twitter的事,现在还没有合适的解决办法。”Evans说该漏洞可能在2008年就存在了,可能已经影响了IE的早期版本。为了利用该漏洞,攻击者需要让受害者点击一个链接。Evans写道,他推测,短的URL可能会被利用,并引起严重的安全问题。DLL load hijacking漏洞微软也正在解决报道的DLL hijacking漏洞。微软在上周的
安全公告中发布了一个更新,并敦促用户部署新工具和自动修复程序来临时解决该问题。该漏洞影响应用程序,包括可以在Windows中共向文件的第三方应用程序。微软表示他将修复该漏洞。攻击者可以使用该漏洞在受害者的机器上执行代码,
但是微软将该漏洞定义为“重要”,因为它需要用户来交互。用户需要点击一系列警告框和
对话框才能打开企图利用该漏洞的恶意文件。
时间: 2024-08-01 20:19:22