微软正在调查在IE浏览器中一项新的漏洞报告。微软的安全响应小组(MSRT)在周五表示,此次调查的IE浏览器漏洞是已经被公开披露的。
MSRT在微博上公布这个消息前的几个小时,有间接证据表明,微软查阅了一封来了谷歌安全研究员Chris Evans的邮件。Chris Evans表示,一个讨厌的漏洞正存在于最新的
IE8浏览器,我没有说服微软发出修复补丁。
“该漏洞允许任意网站,以强制受害者发送消息,” 他补充说。
此漏洞可能存在于其他的
IE浏览器版本。去年12月,似乎是Chris Evans在他的博客中首次记录浏览器跨域盗窃的扩展。还声称微软自2008年已经知道这个IE bug ,并以这个漏斗没有危害为由来回应他的关注。
来自趋势科技资深安全顾问Rik Ferguson解释说,利用所窃取的浏览器已验证凭据,例如Twitter,通过这些凭据,黑客可以令受害者不受自己控制,任意发送伪造的twitter内容。
值得注意的是,利用该漏洞的黑客相当狡猾,他们“合理”地利用了网址缩短服务来迷惑受害者,不过目前已知Opera、
Firefox、
Chrome和Safari都不受此漏洞影响。
via:
mystery_ie_bug 
