IE Bug让黑客利用Google桌面进行网络钓鱼

一名以色列黑客称,微软公司Internet Explorer(IE)浏览器中的错误为网络钓鱼者提供了一种扫描Google桌面用户硬盘的方法。由于IE处理网页的方式存在缺陷,恶意网站可能会利用该攻击从其访问者的硬盘驱动器中窃取敏感信息,例如信用卡号或密码。

黑客Matan Gillon在一封电子邮件采访中写道:“使用IE的Google桌面用户目前已完全暴露。” “经验丰富的攻击者可以秘密地从硬盘驱动器中获取敏感信息,例如密码和信用卡号。由于Google还会对可在Web界面本身中读取的电子邮件编制索引,因此也可以使用这种攻击来访问它们。”

吉伦(Gillon)在网站上发布了有关这种攻击如何进行的广泛描述,以及概念证明。 他的博客.

IE错误与Microsoft浏览器使用CSS(级联样式表)格式处理网页布局信息的方式有关。 CSS格式被广泛用于使网站具有一致的外观,但是攻击者可以利用IE处理CSS的方式来使Google桌面泄露敏感信息。

吉伦说,黑客首先需要诱使用户访问恶意网站,攻击才能成功。他说,该攻击可以在IE 6和Google Desktop v2上运行,但也可以在其他版本的Microsoft浏览器上使用,但不适用于Firefox或Opera等非Microsoft浏览器。

Gillon说,用户可以通过关闭浏览器中的JavaScript来消除攻击。这可以通过在IE的“ Internet选项”菜单中禁用“活动脚本”来完成。 JavaScript是一种流行的脚本语言,Web开发人员使用它来使网站更具动态性。

用户需要特别警惕这些天访问的网站,因为第二个未修补的IE漏洞可能会用来接管用户的PC。黑客在一周前发布了利用此问题的示例代码,微软表示,黑客已在攻击中使用该代码。与CSS问题一样,必须首先诱使用户访问恶意网站,以利用第二个IE错误。

一些安全专家认为,在这些攻击变得更加普遍之前,微软正在努力修补此问题。也可以通过在IE中禁用JavaScript或使用其他浏览器来避免这些攻击。

微软高管无法就CSS错误发表评论,但该公司公共关系机构的一位发言人表示,该问题正在调查中。她说,微软不知道该漏洞造成的任何攻击。

作者:Robert McMillan-IDG新闻服务(旧金山局)

版权© 2005 IDG通讯,Inc.