微软公司正在调查IE 7一个可能存在的能被网络骗子用来实施网络钓鱼的缺陷。
以色列一名软件开发者Aviv Raff在自己的网站上说,入侵者能够通过最新的微软浏览器所显示的错误信息,将网络用户引到地址显示为银行等可信赖的网站上,但这些网站实际上是恶意网站。Raff列出了一个例子,例子中的错误信息使浏览者自己选择去往另一个网站。
微软的一位代表说公司正在留意这个问题。代表在一封电子邮件中说:“微软不知道有任何企图利用报告缺陷来进行的袭击。微软将会继续进行调查,为消费者提供必要的额外指导。”
Raff写到这个缺陷与IE在下载页面失败时所显示的报错信息有关。入侵者能够利用这个报错信息创建一个恶意链接。报错信息提供链接让用户尝试重新下载页面;点击链接以后就会出现入侵者的页面,但是所显示的地址是一些专用网站地址。
为了实施钓鱼袭击,入侵者会创建一个伪造成可银行等可信赖地址的恶意网络链接,点击以后会出现非法错误页面。如果重新下载页面,就会显示在IE 7地址栏中显示可信赖网站地址的入侵者的网站。
Raff说Windows Vista 和 Windows XP中的IE 7都能受到侵袭。
[责任编辑:KV_ddvip]
本栏更新相关链接