IE7地址顯示缺陷 黑客借此隱藏其攻擊意圖

　　據(jù)外電報道，本周三，安全廠商Secunia 表示，IE 7允許一個網(wǎng)站顯示包含有虛假Web 地址的彈出式窗口。Secunia 在一份安全公告中表示，黑客可以利用這一缺陷誘騙人們相信他們在訪問一個可靠的網(wǎng)站，而實際上他們在訪問一個惡意網(wǎng)頁。微軟公司此次推出的IE 7瀏覽器，聲稱對以前的版本進行了徹頭徹尾的修改，尤其是在用戶界面和系統(tǒng)安全上，它的一個賣點就是打擊釣魚式欺詐攻擊。

　　Secunia 開發(fā)了一個演示攻擊，在彈出式窗口的地址欄中顯示的是微軟的Web 地址，但顯示的卻是來自Secunia 的內(nèi)容。

　　微軟的一名代表在一份電子郵件聲明中說，問題在于IE 7地址欄顯示W(wǎng)eb 地址的方式。這名代表表示，黑客可以通過誘騙用戶點擊一個特殊格式的鏈接來利用這一缺陷。

　　微軟表示，彈出式窗口不顯示完整的Web 地址。它說，在瀏覽器窗口內(nèi)或地址欄上點擊鼠標，或滾動窗口，就會顯示完整的URL。

　　如果一個網(wǎng)站被認為是釣魚式欺詐攻擊的一部分，攻擊的陰謀就不會得逞。IE 7的反釣魚技術(shù)會識別出這樣的站點，并向用戶報警。微軟稱，它沒有接到利用該缺陷發(fā)動攻擊的報告。

　　IE 7是5 年來微軟首次對IE進行重大升級，而安全是它的第一號任務(wù)。打擊釣魚式欺詐攻擊一直是微軟的一個重點。

　　這一缺陷被Secunia 認為“不太危急”，但卻是IE 7中被公開披露的第一個缺陷。微軟表示，它已經(jīng)在調(diào)查這一問題，可能會發(fā)布補丁軟件修正該缺陷。