IE7地址顯示缺陷助黑客隱藏攻擊

　　安全專家在IE 7中發現了一個缺陷，可能會幫助欺騙犯罪分子隱藏釣魚式欺詐陰謀。IE 7的一個賣點是打擊釣魚式欺詐攻擊。

　　本周三，一國際安全機構表示，IE 7允許一個網站顯示包含有虛假Web 地址的彈出式窗口。黑客可以利用這一缺陷誘騙人們相信他們在訪問一個可靠的網站，而實際上他們在訪問一個惡意網頁。

　　這可能會只顯示地址欄的一部分，誘騙用戶執行一些無意的操作。該機構開發了一個演示攻擊，在彈出式窗口的地址欄中顯示的是微軟的Web 地址，但顯示的卻是來自Secunia 的內容。

　　微軟的一名代表在一份電子郵件聲明中說，問題在於IE 7地址欄顯示Web 地址的方式。這名代表表示，黑客可以通過誘騙用戶點擊一個特殊格式的鏈接來利用這一缺陷。微軟表示，彈出式窗口不顯示完整的Web 地址。它說，在浏覽器窗口內或地址欄上點擊鼠標，或滾動窗口，就會顯示完整的URL。
　　
　　如果一個網站被認為是釣魚式欺詐攻擊的一部分，攻擊的陰謀就不會得逞。IE 7的反釣魚技術會識別出這樣的站點，並向用戶報警。微軟稱，它沒有接到利用該缺陷發動攻擊的報告。

　　IE 7是5 年來微軟首次對IE進行重大升級，而安全是它的第一號任務。打擊釣魚式欺詐攻擊一直是微軟的一個重點。

　　這一缺陷被認為“不太危急”，但卻是IE 7中被公開披露的第一個缺陷。微軟表示，它已經在調查這一問題，可能會發布補丁軟件修正該缺陷。