昨日發布 windows、LINUX 上瀏覽器新安全缺陷

【eNews 訊息】當地時間本周三，安全資訊供應商 Secunia 公司發布的資料顯示：Mozilla 基金會的多個版本的瀏覽器、Opera 瀏覽器、Linux 平台上的 Konqueror 瀏覽器、增強 IE 功能的兩個第三方外掛程式中都存在兩個與標籤式瀏覽相關的安全缺陷。

　　其中的一個缺陷是，在一個標籤式視窗中開啟的惡意網站可以訪問在另一個標籤式視窗中輸入的資訊；另一個缺陷是，惡意網站能夠開啟一個似乎顯示在另一個標籤式視窗中的對話方塊。

　　Secunia 公司的技術總監托馬斯·克裡斯廷森說：“我認為之所以出現這樣的問題，是開發商在開發瀏覽器時，沒有考慮到將所有瀏覽器標籤放到一個應用程式視窗中造成的後果。這就是問題的癥結。”

　　Secunia 公司建議，使用標籤式瀏覽功能的使用者在訪問非信任網站時，不要用 JavaScript 功能或訪問信任網站。

　　周二，KDE 項目組在最新版本的 Konqueror 瀏覽器中修正了上述兩個缺陷。Mozilla 基金會的設計主管克裡斯·霍夫曼稱，在發布 Firefox 1.0 時將修正上述兩個缺陷。目前，還沒有聽到 Opera 對這兩個缺陷的意見。

　　微軟的 IE 瀏覽器也正在受“折磨”——安全研究人員 Http-equiv 發現了 IE 瀏覽器中存在兩個更嚴重的安全缺陷：第一個缺陷拓展了在 8 月份被發現的所謂“拖放缺陷”的功能，利用該缺陷，駭客可以在受感染的電腦上安置 HTML 程式碼。

　　據 Secunia 公司的公告稱，第二個更為嚴重的安全缺陷是，能夠繞過 Windows XP SP2 中的安全機制，今年 8 月份發布的 Windows XP SP2 曾加強了有關 XP 作業系統的安全保護。即便是本月發布的 SP2 的補丁軟體也無法阻止駭客利用該缺陷在使用者的電腦上執行 HTML 文檔。

　　駭客要是將這兩個缺陷一起使用的話，就能在使用者的電腦上安置、執行惡意代碼。Http-equiv 在一封電子郵件中稱，這兩個缺陷不是什麼新缺陷，而是原來缺陷的拓展。

　　微軟公司認為駭客要利用這兩個缺陷並不容易。它在一份聲明中說，早期報道顯示，駭客需要使用者執行一系列操作後才能發動攻擊。首先，駭客需要誘使使用者訪問一個“特殊”的惡意網站，其次是誘使使用者在該網站上執行一系列的特殊操作，然後再重啟動電腦或中止網路連接，這一切都完成後，駭客的目的才能得逞。微軟公司還沒有接到有關客戶因這兩個缺陷而受到攻擊的報告。

　　Secunia 公司的技術總監托馬斯·克裡斯廷森說，與其它瀏覽器相比，IE 瀏覽器這存在的缺陷產生的影響非常巨大，這些缺陷很嚴重，應該及時修正。

來自：eNet