危机重重 IE6 SP1竟然忽略了20个严重错误
时间:1970-01-01 | 作者:PConline | 阅读:136
??研究者发现,Internet Explorer中不够充分的安全限制使攻击者可能在包含框架(frame)的Web页面中执行脚本程序。因为IE5.5及其以上的版本中对框架(以及iframe)的处理方式,攻击者能够轻易地进行各种破坏活动,包括:
1、使用IE中包含框架的缺省本地资源(有意思的是该资源却称为“私有策略”)从受害者的硬盘中读取本地文件。
2、使用“私有策略”(PrivacyPolicy)资源,在受害者的计算机上执行任意的程序。
3、从包含了框架的远端站点读取受害者的cookie和其他内容,这可能会导致包含框架的站点,比如Hotmail,产生会话盗用(session-stealing)以及用户帐户的妥协。
4、伪造包含了框架的站点的内容。比如,攻击者能够在hotmail.com站点向用户展示一个虚假的登录页面,并且把登录结果记录到数据库中。
??IE5.5及更高版本的用户对于以上这些攻击十分脆弱,IE6.0的用户面临的情况更加糟糕。幸运的是有一个简单的方法来解决这些问题,该方法主要是关闭了活动脚本的功能。或者也可以考虑换另一种浏览器来避免被攻击的危险。
??GreyMagic公司在发现了前面的问题后于9月9日发布了对此问题的建议。然而目前微软对此事尚未发表自己的看法。并且在微软最近发布的IE6 Service Pack1中给出的修复列表中尚未提及这些问题。
1、使用IE中包含框架的缺省本地资源(有意思的是该资源却称为“私有策略”)从受害者的硬盘中读取本地文件。
2、使用“私有策略”(PrivacyPolicy)资源,在受害者的计算机上执行任意的程序。
3、从包含了框架的远端站点读取受害者的cookie和其他内容,这可能会导致包含框架的站点,比如Hotmail,产生会话盗用(session-stealing)以及用户帐户的妥协。
4、伪造包含了框架的站点的内容。比如,攻击者能够在hotmail.com站点向用户展示一个虚假的登录页面,并且把登录结果记录到数据库中。
??IE5.5及更高版本的用户对于以上这些攻击十分脆弱,IE6.0的用户面临的情况更加糟糕。幸运的是有一个简单的方法来解决这些问题,该方法主要是关闭了活动脚本的功能。或者也可以考虑换另一种浏览器来避免被攻击的危险。
??GreyMagic公司在发现了前面的问题后于9月9日发布了对此问题的建议。然而目前微软对此事尚未发表自己的看法。并且在微软最近发布的IE6 Service Pack1中给出的修复列表中尚未提及这些问题。
福利游戏
相关文章
更多精选合集
更多大家都在玩
大家都在看
更多-
- 世界币交易前十大平台排名表格图片最新?
- 时间:2024-06-17
-
- 《艾尔登法环》寒冷巨剑介绍
- 时间:2024-06-17
-
- 《绝地潜兵2》6月13号更新内容汇总
- 时间:2024-06-17
-
- 《真女神转生5复仇》创生难度解锁方法
- 时间:2024-06-17
-
- 《阎萝大人!不要闹》游戏玩法
- 时间:2024-06-17
-
- 《艾尔登法环》魔法护符获取方法
- 时间:2024-06-17
-
- 《艾尔登法环》德鲁姆大道位置介绍
- 时间:2024-06-17
-
- 《艾尔登法环》恶兆妖鬼简单打法攻略
- 时间:2024-06-17