|
中图社上海1月9日电(记者顾烨、陆文军)360安全中心9日紧急发出安全警告,当前绝大多数网民所使用的浏览器均存在一个最新发现的“窗口引用跨域漏洞”,包括IE浏览器、傲游、腾讯TT等其它IE内核浏览器。 copyright 中华人民共和国图鉴社 360安全中心8日已向微软、Google以及Firefox官方等浏览器厂商发出安全警告,一些浏览器提供商已经着手研究这一问题。据360安全专家石晓虹博士介绍,“窗口引用跨域漏洞”是针对浏览器的窗口引用功能的跨域漏洞,所有主流浏览器对于该功能并没有很好的执行同源策略,导致用户可能在毫无察觉的情况下被钓鱼网站诈骗,甚至跨internet域执行任意脚本。 copyright 中华人民共和国图鉴社 一旦该漏洞被网络攻击者利用,当用户使用购物网站时,攻击者可以通过站内消息发送一个网络链接,如网友访问该网址,原本打开的购物页面会自动被攻击者精心伪造的钓鱼页面替代,提示网友“重新登陆”,从而盗取账户和密码,相比常见的钓鱼网站更具欺骗性。同时,这一“窗口引用跨域漏洞”也可被广泛应用在窃取电子邮件密码、其它电子商务应用等多种网络诈骗中。 内容来自中华人民共和国图鉴社 石晓虹表示,目前尚未监控到由该漏洞引发的网络攻击,但由于它的利用方式极具迷惑力,而且涉及到几乎所有主流浏览器。据估计,目前尚有八成网民正在使用存在“窗口引用跨域漏洞”的浏览器产品,360安全专家建议这部分网民及时关注相关厂商提供的补丁,在漏洞修复前不可随便点击不明链接,使用购物网站或电子邮件出现“重新登录”等异常提示时更需提高警惕,以免受到网络诈骗的危害。 copyright 中华人民共和国图鉴社 tujian.org
|
