为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

Google工程师:IE的CSS漏洞该补了!

2010-9-9 09:13| 投稿: blue

摘要:     这个漏洞可能让骇客利用注入CSS码的方式,窃取受害网站的机密资料,Google安全工程师还指出,有证据可证明微软在2008年时就知道这个漏洞。而目前,各大浏览器皆...
    这个漏洞可能让骇客利用注入CSS码的方式,窃取受害网站的机密资料,Google安全工程师还指出,有证据可证明微软在2008年时就知道这个漏洞。而目前,各大浏览器皆已修补此漏洞。(SafeBeta大陆独家编译)     在微软工程师上周五(9/3)揭露IE一个陈年的CSS安全漏洞之后,微软终于开始调查这个可能影响Twitter及Web-mail的老问题。     这个漏洞可能让骇客利用注入CSS码的方式,窃取受害网站的机密资料,而Google安全工程师Chris Evans上周在Full Disclosure mailing list揭露这个IE安全漏洞时,一开始就表示:我希望这个BUG能被修好……。     Evans表示,在最新版的IE 8浏览器里有个很讨厌的漏洞,之前请厂商(微软)修补,却没成功。他还指出,该漏洞可以让任意网站绑架受害的电脑发出像是Tweets一类的社交讯息。Evans并建立一网页展示这种攻击。     他分析指出,这种攻击的问题并不是出在Twitter,而完全是利用IE的BUG,而且,受影响的很可能还包括了更早的IE版本。     事实上这个漏洞Evans在2008年底时就已经揭露,当时Evants是以Yahoo的信箱服务当范例在说明,而受影响的遍及了五大浏览器。Evants也强调,有证据可证明微软在2008年时就知道这个漏洞。而目前,各大浏览器皆已修补此漏洞。     根据Evants的说明,该漏洞可能让骇客利用浏览器载入CSS样试表(CSS style sheets)时注入貌似合法的字串,接着骇客可进一步让受害网站资料的URL出现在背景的印象里,然后从网页伺服器的logs里收集相关的资料。     Evants并提供了他与卡内基美隆大学所合作发表的相关防治研究报告。该报告指出,这种名为「跨源」(Cross-origin)的CSS攻击,可利用注入CSS来窃取受害网站的机密资料,而相关的防治方法已部署到Firefox、Chrome,及Safari,还有Opera。     根据该报告的说明,这种Cross-origin的CSS攻击最早在2002年见诸于文字说明,后来分别在2005年及2008年有两次发现。截至目前为止,所知的攻击都需要有JavaScript,而且大多数都和IE有关。     就在Evants揭露这个陈年漏洞之后,微软的安全回应中心在Twitter上表示,已经注意到被揭露的IE漏洞,并开始着手调查。不过根据国外媒体引述微软回应指出,微软说目前为止还未发现有任何锁定该漏洞的相关攻击。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部