近日,以色列的一名安全研究人员发现了一种通过利用IE浏览器中一个尚未修正缺陷窃取Google桌面搜索工具用户的信息的方式。
上周三,吉伦在发布的一份报告中说,IE浏览器处理CSS 规则的方式存在一个缺陷。CSS 技术被广泛地应用在许多网站上。
吉伦的概念证明型方法是软件中安全缺陷如何访问有缺陷PC上软件的范例。吉伦在描述其攻击方法的报告中说,IE中的这一设计缺陷使黑客能够获取用户数据或冒充用户对远程的域执行操作。
他设计了一个网页,当在安装有Google桌面搜索工具的计算机的IE中浏览该网页时,利用该搜索工具返回搜索“password”关键字的搜索结果。
要利用该缺陷,黑客必须诱惑用户访问一个恶意的Web 网页。吉伦表示,数以千记的网站都可能被利用,目前还没有一种针对这一攻击的解决方案,至少在IE没有被修正前是这样。
微软正在调查这一问题。微软在一份声明中说,如果网站使用了一种特别配置,该问题能够使黑客访问一个网站上的内容。
微软还表示,它目前还不清楚有利用该缺陷的恶意代码出现,但正在关注事态的进展。微软可能会发布安全升级包或有关该问题的公告。
Google也在调查这一问题。Google的一位女发言人在一份电子邮件声明中说,我们刚刚得知这一问题,正在对它进行调查。
尽管吉伦在他的概念证明方法中利用IE缺陷作为一种访问Google Desktop的途径,这一缺陷和其它软件缺陷会被秘密地用来访问有缺陷计算机上的任何软件。
安全研究人员汤姆表示,它与IE中的其它任何缺陷没有什么二样,但他创新性地利用它启动Google Desktop获取数据,我们将会发现它能够被用来窃取用户的Quicken 数据、数据库文件等等。
eEye数字安全公司的安全产品经理史蒂夫也同意这种看法,这显然是IE而非Google产品中的缺陷。他说,吉伦利用了Google Desktop访问数据,但这是IE造成的。
吉伦发现,Firefox 和Opera 不存在这样的缺陷。为了保护自己的安全,互联网用户可以使用这些浏览器之一,或者关闭IE中的JavaScript功能。
