以色列一名安全研究人员发现,通过利用微软浏览器中一个未经修复的漏洞,攻击者可在用户不知情时从Google桌面搜索软件中窃取信息。
研究人员Gillon在发布的消息中写道,微软网络浏览器处理CSS规则的方式存有缺陷。CSS也称层叠风格表单,作用是确定多个网络页面的通用风格。许多网站都广泛地采用这种网页设计技术。
该研究者指出,IE中的这个设计缺陷可使攻击者以用户名义获得个人数据,或者是远程执行操作。
为了利用这项漏洞,攻击者必须将被攻击对象引导到恶意网络页面。Gillon指出,人们可以利用成千上万的这类网站,现在还没有针对这类攻击的解决方案,至少在IE浏览器修复之前。
微软公司正在调查此问题。微软声明说,该漏洞影响了IE浏览器的跨域名保护。微软说,该漏洞可潜在地使攻击者利用某个独立网站的内容。
微软公司还指出,微软当前没有发现利用这个漏洞的恶意软件,但是公司将仔细观察情况,有可能发布安全升级或提出建议。
Google公司也展开了调查。公司发言人说,我们刚刚得到消息,目前正在进行调查
