一个新报告的IE浏览器漏洞可以使攻击者创建一个看起来和真实的站点一模一样的虚假网页。这个漏洞使攻击者可以在IE的地址栏里显示真实的网页地址(例如www.cnbeta.com)而实际上显示其他的任意页面。甚至可以显示指示SSL(Secure Socket Layer)安全的图标,安全人员在周四警告说。
这个问题可能会导致更严重的所谓phishing欺骗,一个网上很普遍的攻击类型,经常是在垃圾邮件里面含有看起来上合法的电子商务网站的链接,用户登入后其输入的一些如用户名,密码和信用卡号码等就会被盗。
这个漏洞是由Greyhats安全群组的安全研究人员发现并在周四由丹麦的安全公司Secunia报告的。据称,这个漏洞是由一个IE的一个ActiveX 控件引起的,已证明会影响到运行在Windows XP上6.0或更早的版本。
微软正在研究这份报告,一位公司发言人在周五说:“我们到现在为止还没有任何使用这个漏洞尝试进行攻击和顾客反馈的信息,但是我们正在详细的调查这份公开报告。” 同时她说,在调查结束后微软会通过每月的安全更新或例外地发布一个安全补丁。同时Secunia建议用户通过禁用IE的控件或将安全级别设置为“高”来保护自己。
一些银行已经开始通过教育顾客来防止phishing带来的损失。花旗在它的网站上已经警告顾客不要点击电子邮件里面的链接。同时建议客户手动的登陆其银行网页以保证不是和一个欺骗者交易。