IE8发现新漏洞 可对安全网站实施攻击

据Register网站的两个消息来源称，最新的IE8浏览器近期发现一个新的安全漏洞，黑客可以利用IE8中的这个漏洞对安全的网站实施严重的跨站脚本攻击。微软在几个月前已经得到这个安全漏洞的通知。具有讽刺意味的是,这个安全漏洞存在于微软为IE8增加的阻止对网站实施跨站脚本攻击的保护措施中。 利用这个安全漏洞实施攻击的方法是使用一种名为输出编码的技术重新编写有安全漏洞的网页,从而用有害的 字符和值替换网页上更安全的字符和值。谷歌一位发言人证实IE8存在一个严重的安全漏洞,但是不愿意提供具体细节。 目前还不清楚IE8中的保护措施是如何引起安全的网站出现跨站脚本攻击安全漏洞的。但是,Aspect Security公司高级应用程序安全工程师Michael Coates推测说,这个安全漏洞可能会引起IE8重写网页,让新的值引起对安全网站的攻击。他说,如果黑客知道IE8中的这个安全漏洞的工作方式实际上就是制作那个输出的编码,然后创建一个攻击者熟悉的字符串,就可以实施实际的攻击。黑客利用这个漏洞输入一个值就可以导致对这个网页的攻击。这是对没有安全漏洞的网页实施攻击的一种方法。 微软星期四下午对The Register网站说:“微软正在调查新公开的IE浏览器中的安全漏洞。我们目前还不知道任何利用这个安全漏洞实施的攻击以及对用户的影响。”一旦调查结束,微软将采取适当的措施,包括发布补丁或者提供如何保护自己防止这个安全漏洞的措施。近期微软漏洞研究人员发现Google在9月份推出的IE浏览器插件Chrome Frame存在高危漏洞，攻击者可以绕过IE浏览器的跨域保护。

标签:IE动态IE8安全漏洞攻击