微软就IE浏览器的cookie漏洞发表回应

安全技术研究人员Rosario Valotta在本月举行的Swiss Cyber Storm与Hack in the Box等安全会议上揭露了微软IE浏览器的零时差攻击漏洞，宣称所有windows 操作平台上的所有版本的IE浏览器都含有该漏洞，黑客只要使用先进的cookie绑架（Cookiejacking）手法就能存取用户电脑上所储存的任何cookie。

但由于IE浏览器的cookie文件存放的路径是根据windows操作系统的用户名称来定义的，因此黑客在进行攻击前必须先猜测该用户的名称。此外，不同操作系统储存cookie文件的位置也不同，所以也得先知道用户的操作系统版本。

仍处于运作中的cookie多半会储存用户登入特定网站的帐号与密码，Valotta所展示的攻击则是针对Facebook、Twitter与Gmail在用户电脑上留下的cookie。

所幸，要从IE浏览器中窃取cookie信息还必须说服用户进行互动，拖放一个对象跨PC的屏幕。但根据路透社的报导，Valotta在Facebook上出版了一个裸女拼图游戏，3天内就取得了80个cookie。

微软发言人Jerry Bryant就此事向媒体发布回应，微软并不认为这是个高风险漏洞，因为它需要用户的高度互动，用户必须先访问恶意网站，然后在网页上拖曳物件，而且黑客还必须知道用户已登入的网站才能窃取cookie。