文/陳曉莉 | 2015-02-05發表
圖片來源:
來自安全顧問公司Deusen的研究人員David Leo透過Full Disclosure郵件論壇表示,IE 11含有一個跨站指令碼(Cross Site Scripting, XSS)攻擊漏洞,讓駭客可以完全繞過同源法則(Same Origin Policy)從外部注入惡意程式到特定網站或是竊取特定網站的資料。
同源法則為網路應用安全的一個重要概念,它限制程式碼(例如JavaScript)只能存取或操作同一網域名稱的DOM,但該漏洞卻允許駭客從外部網站在另一個網站注入程式。
Leo展示了該漏洞,當使用者以IE 11造訪Daily Mail網站時,會跳出一個視窗,顯示Daily Mail網站已遭他挾持。當網站遭到相關攻擊時,駭客就能竄改或竊取該站的內容,包括記錄造訪該站的使用者所輸入的內容。此一漏洞影響了Windows 7與Windows 8.1上所執行的IE 11。
Leo已經在去年10月向微軟提報該漏洞。微軟則表示,目前尚未發現針對該漏洞的實際攻擊行動,同時也正在進行修補。此外,要攻擊該漏洞駭客必須先引誘使用者造訪惡意網站,而且用來阻擋網釣網站的SmartScreen功能在較新版IE的預設值都是啟用的。微軟並呼籲使用者避免開啟不明來源的網站連結。