微软将修复IE8 XSS过滤器的跨站漏洞

安全研究人员Eduardo Vela Nava和David Lindsay在上周巴塞罗那举行的黑帽会议（Black Hat Europe）会议上演示了通过IE8的漏洞对有免疫能力的网站实施攻击。并呼吁微软能够尽快修复IE浏览器这项安全漏洞。要是IE浏览器这个安全漏洞万一被人利用，可能会导致网站被植入木马。而该IE漏洞正是微软更新两次安全补丁，依旧尚未完全解决的IE8过滤器漏洞 微软已经在昨天表示，将在6月更新IE8的XSS（Cross-site scripting:XSS）过滤器，发布一个跨站脚本过滤器更新软件，从而解决该安全问题。发言人称：“六月发布安全更新是惯例。” 跨站脚本过滤器是微软去年发布的IE8测试版中的一项反恶意软件功能。这个演示促使微软决定更新IE8。 同时，这将是微软第三次尝试解决IE8 XSS过滤器的安全问题。 软安全响应中心的一位工程师David Ross在微软安全中心（MSRC）博客表示：“Blackhat EU简报所说的XSS过滤器安全漏洞，在很早之前的一项IE安全更新（MS10-22）就已经发现，并设法解决了。” 后来微软在3月份再次发布的重大更新（MS10-18）也再次尝试解决该问题。 虽然在1月和3月发布的应急补丁MS10-002和MS10-018中已经处理了Vela Nava和Lindsay提出的一些攻击情况，但还是没能阻止攻击者的其他攻击途径。这次将解决黑帽欧盟会议上演示的一种脚本标签攻击情况。 与安全补丁不同，IE8的跨站脚本过滤器一般是动态更新的并且是在后台更新的。但是，微软发言人本周二说，微软计划在6月份发布这个补丁而不是立即发布这个补丁是为了给企业一些时间进行测试。 尽管IE浏览器之前频繁爆出安全漏洞问题，不过根据数据显示：在2009年IE只有45个安全漏洞，而Firefox则是去年漏洞最多的浏览器共计169个。

标签:IE动态IE8微软IE漏洞