安全專家在IE 7中發現了一個缺陷,可能會幫助欺騙犯罪分子隱藏釣魚式欺詐陰謀。IE 7的一個賣點是打擊釣魚式欺詐攻擊。
本周三,一國際安全機構表示,IE 7允許一個網站顯示包含有虛假Web 地址的彈出式窗口。黑客可以利用這一缺陷誘騙人們相信他們在訪問一個可靠的網站,而實際上他們在訪問一個惡意網頁。
這可能會只顯示地址欄的一部分,誘騙用戶執行一些無意的操作。該機構開發了一個演示攻擊,在彈出式窗口的地址欄中顯示的是微軟的Web 地址,但顯示的卻是來自Secunia 的內容。
微軟的一名代表在一份電子郵件聲明中說,問題在於IE 7地址欄顯示Web 地址的方式。這名代表表示,黑客可以通過誘騙用戶點擊一個特殊格式的鏈接來利用這一缺陷。微軟表示,彈出式窗口不顯示完整的Web 地址。它說,在浏覽器窗口內或地址欄上點擊鼠標,或滾動窗口,就會顯示完整的URL。
如果一個網站被認為是釣魚式欺詐攻擊的一部分,攻擊的陰謀就不會得逞。IE 7的反釣魚技術會識別出這樣的站點,並向用戶報警。微軟稱,它沒有接到利用該缺陷發動攻擊的報告。
IE 7是5 年來微軟首次對IE進行重大升級,而安全是它的第一號任務。打擊釣魚式欺詐攻擊一直是微軟的一個重點。
這一缺陷被認為“不太危急”,但卻是IE 7中被公開披露的第一個缺陷。微軟表示,它已經在調查這一問題,可能會發布補丁軟件修正該缺陷。