IE浏览器的陈年CSS安全漏洞
上次我们就已经介绍了IE浏览器这个漏洞,但并未获知该漏洞的具体细节。这个漏洞主要是利用注入CSS代码的方式进行攻击,窃取受害网站的机密资料。微软工程师在9月3日揭露了IE浏览器的陈年CSS安全漏洞之后,微软终于开始调查这个可能影响Twitter及Web-mail的老问题。
而来自Google的安全工程师Chris Evans在上周揭露了这个IE安全漏洞时表示:我希望这只IE浏览器的臭虫能被修复。
他还指出,该漏洞可以让任意网站绑架受害的电脑发出像是Tweets一类的社交讯息。Evans并建立一网页展示这种攻击, 这种攻击的问题并不只是出在Twitter。
事实上这个漏洞Evans在2008年底时就已经揭露,当时Evants是以Yahoo的信箱服务当范例在说明,而受影响的遍及了五大浏览器。Evants也强调,有证据可证明微软在2008年时就知道这个漏洞。而目前,各大浏览器皆已修补此漏洞。
根据Evants的说明,该漏洞可能让黑客利用浏览器载入CSS样式表(CSS style sheets)时注入貌似合法的字串,接着黑客可进一步让受害网站资料的URL出现在背景的映像里,然后从网页服务器的logs里搜集相关的资料。
Evants并提供了他与卡内基美隆大学所合作发表的相关防护研究报告。该报告指出,这种名为「跨源」(Cross-origin)的CSS攻击,可利用注入CSS来窃取受害网站的机密资料,而相关的漏洞补救方法已部署到Firefox、Chrome、Safari、Opera等浏览器。
根据该报告的说明,这种Cross-origin的CSS攻击最早在2002年见诸于文字说明,后来分别在2005年及2008年有两次发现。截至目前为止,所知的攻击都需要有JavaScript,而且大多数都和IE浏览器有关。
就在Evants揭露这个陈年漏洞之后,微软的安全回应中心在Twitter上表示,已经注意到被揭露的IE漏洞,并开始着手调查。不过根据国外媒体引述微软回应指出,微软说目前为止还未发现有任何锁定该漏洞的相关攻击。
事实上这个漏洞Evans在2008年底时就已经揭露,当时Evants是以Yahoo的信箱服务当范例在说明,而受影响的遍及了五大浏览器。Evants也强调,有证据可证明微软在2008年时就知道这个漏洞。而目前,各大浏览器皆已修补此漏洞。
根据Evants的说明,该漏洞可能让黑客利用浏览器载入CSS样式表(CSS style sheets)时注入貌似合法的字串,接着黑客可进一步让受害网站资料的URL出现在背景的映像里,然后从网页服务器的logs里搜集相关的资料。
Evants并提供了他与卡内基美隆大学所合作发表的相关防护研究报告。该报告指出,这种名为「跨源」(Cross-origin)的CSS攻击,可利用注入CSS来窃取受害网站的机密资料,而相关的漏洞补救方法已部署到Firefox、Chrome、Safari、Opera等浏览器。
根据该报告的说明,这种Cross-origin的CSS攻击最早在2002年见诸于文字说明,后来分别在2005年及2008年有两次发现。截至目前为止,所知的攻击都需要有JavaScript,而且大多数都和IE浏览器有关。
就在Evants揭露这个陈年漏洞之后,微软的安全回应中心在Twitter上表示,已经注意到被揭露的IE漏洞,并开始着手调查。不过根据国外媒体引述微软回应指出,微软说目前为止还未发现有任何锁定该漏洞的相关攻击。 
