IE 用戶留意! IE11 被揭有嚴重 XSS 漏洞

儘管相信不少 unwire.pro 的讀者多選用 Chrome、Firefox 等作為瀏覽器;但其實全球有不少企業、機構礙於政策及各種宏觀因素影響,導致其主要瀏覽器依然為 Internet Explorer。日前就有研究人員發現 IE11 上有一個跨站指令碼漏洞,為黑客提供可以完全繞過同源法則,由外部注入惡意程式到特定網站,甚至竊取特定網站資料的渠道。

儘管相信不少 unwire.pro 的讀者多選用 Chrome、Firefox 等作為瀏覽器;但其實全球有不少企業、機構礙於政策及各種宏觀因素影響,導致其主要瀏覽器依然為 Internet Explorer。日前就有研究人員發現 IE11 上有一個跨站指令碼 (Cross Site Scripting,XSS) 漏洞,為黑客提供可以完全繞過同源法則 (Same Origin Policy),由外部注入惡意程式到特定網站,甚至竊取特定網站資料的渠道。

ie11-xss-hole-1ie11-xss-hole-1

 

應用漏洞需瀏覽特定惡意網站

同源法則 (Same Origin Policy) 為限制如 JavaScript 等程式碼只能存取及操作同一網域名稱的 DOM 的重要法則,而被資安顧問公司 Deusen 研究人員 David Leo 發現的 XSS 漏洞卻容許黑客由外部網站向其他個網站注入程式碼。

Leo 指,當用戶以 IE 11 造訪特定網站時,將會跳出視窗表示該網站已遭挾持。而當網站遭到相關攻擊,黑客就能夠竄改及竊取網站上的內容:包括記錄瀏覽網站的用戶所輸入的內容。

Leo 表示早於去年 10 月已向 Microsoft 回報此 XSS 漏洞。而 Microsoft 就指,目前尚未發現針對此漏洞而出現的實際攻擊,相關人員正進行修補工作。Microsoft 續指,由於發動影響 Windows 7 及 Windows 8.1 上 IE11 的漏洞前題為黑客先要引誘用戶瀏覽其惡意網站,而用以阻擋釣魚網站的 SmartScreen 於近代 IE 均預設為啟用,故此只要用戶避免開啟不明來源的網站連結,則依然受到一定的保障。

Source:Full Disclosure

 

whatsapp