IT之家訊今日,微軟IE瀏覽器曝出了新的漏洞,此漏洞在最新版IE中也存在,攻擊者可利用此漏洞訪問使用者登陸憑證,雖然釋出者使用的操作系統為win7,但筆者使用win10預覽版9926進行測試依然有效,所以我們可以暫時認為該漏洞影響目前從Windows7到win8/Win8.1以及Windows10所有主流Windows系統。
這是一個通用跨站指令碼,並且相關資料被公佈在了網路中。
有相關人士為我們進行了詳細的演示:
首先,網站dailymail.co.uk中的內容被外部域改變,當攻擊者佔有cookie後,便可以訪問只有使用者才有許可權訪問的區域,例如瀏覽歷史,卡片資料以及一些敏感資訊等,同時攻擊者還可以利用此漏洞來誘使使用者前往釣魚網站。
微軟目前已經瞭解到該漏洞的存在,並且修復工作已經開展:
我們此前未意識到此漏洞已經可以被利用,但現在修復工作已經展開。要利用此漏洞,攻擊者一般都會先透過釣魚來誘使使用者前往被惡意篡改的網站,而最新版IE瀏覽器中預設開啟的SmartScreen可以有識別釣魚網站,我們建議使用者不要開啟來源不明的連結或訪問不受信任的站點,並且最好可以在每次結束訪問後退出登入以保護自己的個人資訊。(Via:MSNews)
注意:除非你是專業人員,否則不要模仿圖片中的操作過程,一切後果自行承擔。