[转贴]：IE发现潜伏6年之久的漏洞 请勿访问不可靠网页

xmin

据日经BP社报道，丹麦安全销售商Secunia等于6月30日公开了在Internet Explorer（IE）中发现的安全漏洞（英文）。如果在Web网页中做手脚，可能在使用框架的任意Web内容中显示任意内容。也就是说，如果使用IE访问被做过手脚的网页，可能会显示嵌入恶意内容的著名企业的Web网页。

　　这是一个可以恶意使用“Phishing（使用邮件进行欺诈）”等的安全漏洞， 由于补丁尚未公开，因此对策为“不要访问不可靠的网页”、“使用其他浏览器”等。

　　安全漏洞的发现者“http-equiv”公开了验证这一安全漏洞的示范。在示范网页中通过使用IE访问后，虽然显示Windows Update的页面，但其中一个框架却显示了与美国微软毫无关系的网页。

　　在包括地址栏的Windows Update显示部分，是微软的“真正”网页。在突破此次安全漏洞的网页中通过IE访问后，在该网页指定的网页（示范中为“windowsupdate.microsoft.com”）的框架中，嵌入了该网页指定的其他网站的网页（示范中为“malware.com”）。

　　当然，IE的设置是不允许发生这种情况的。因为如果允许，就可以把带有恶意的内容（比如让人输入个人信息进行窃取的内容）伪装成著名企业网页的部分内容。由于1998年曾在IE 3.x／4.x中发现过同样的安全漏洞，微软已公开了补丁（英文）。但该漏洞仍然存在于IE 5.x／6.x中，因此被Secunia形容为“6 year old vulnerability”。

　　当然，在访问“windowsupdate.microsoft.com”时，不会在框架里嵌入带有恶意的内容并显示出来。只有访问被做过手脚带有恶意的网页时，才会在同一页面上显示“著名企业的内容＋带有恶意的内容”。因此，可以采取“不访问可疑网页，不点击可疑链接”的对策。Secunia提出的另一对策是使用IE之外的浏览器。

　　这是一个可被在线欺诈恶意利用的危险安全漏洞。IE用户务必提高警惕！（记者：胜村 幸博）