儘管相信不少 unwire.pro 的讀者多選用 Chrome、Firefox 等作為瀏覽器;但其實全球有不少企業、機構礙於政策及各種宏觀因素影響,導致其主要瀏覽器依然為 Internet Explorer。日前就有研究人員發現 IE11 上有一個跨站指令碼 (Cross Site Scripting,XSS) 漏洞,為黑客提供可以完全繞過同源法則 (Same Origin Policy),由外部注入惡意程式到特定網站,甚至竊取特定網站資料的渠道。
應用漏洞需瀏覽特定惡意網站
同源法則 (Same Origin Policy) 為限制如 JavaScript 等程式碼只能存取及操作同一網域名稱的 DOM 的重要法則,而被資安顧問公司 Deusen 研究人員 David Leo 發現的 XSS 漏洞卻容許黑客由外部網站向其他個網站注入程式碼。
Leo 指,當用戶以 IE 11 造訪特定網站時,將會跳出視窗表示該網站已遭挾持。而當網站遭到相關攻擊,黑客就能夠竄改及竊取網站上的內容:包括記錄瀏覽網站的用戶所輸入的內容。
Leo 表示早於去年 10 月已向 Microsoft 回報此 XSS 漏洞。而 Microsoft 就指,目前尚未發現針對此漏洞而出現的實際攻擊,相關人員正進行修補工作。Microsoft 續指,由於發動影響 Windows 7 及 Windows 8.1 上 IE11 的漏洞前題為黑客先要引誘用戶瀏覽其惡意網站,而用以阻擋釣魚網站的 SmartScreen 於近代 IE 均預設為啟用,故此只要用戶避免開啟不明來源的網站連結,則依然受到一定的保障。
Source:Full Disclosure