这个漏洞可能让骇客利用注入CSS码的方式,窃取受害网站的机密资料,Google安全工程师还指出,有证据可证明微软在2008年时就知道这个漏洞。而目前,各大浏览器皆已修补此漏洞。
在微软工程师上周五(9/3)揭露IE一个陈年的CSS安全漏洞之后,微软终于开始调查这个可能影响Twitter及Web-mail的老问题。
这个漏洞可能让骇客利用注入CSS码的方式,窃取受害网站的机密资料,而Google安全工程师Chris Evans上周在Full Disclosure mailing list揭露这个IE安全漏洞时,一开始就表示:我希望这个BUG能被修好……。
Evans表示,在最新版的IE 8浏览器里有个很讨厌的漏洞,之前请厂商(微软)修补,却没成功。他还指出,该漏洞可以让任意网站绑架受害的电脑发出像是Tweets一类的社交讯息。Evans并建立一网页展示这种攻击。
他分析指出,这种攻击的问题并不是出在Twitter,而完全是利用IE的BUG,而且,受影响的很可能还包括了更早的IE版本。
事实上这个漏洞Evans在2008年底时就已经揭露,当时Evants是以Yahoo的信箱服务当范例在说明,而受影响的遍及了五大浏览器。Evants也强调,有证据可证明微软在2008年时就知道这个漏洞。而目前,各大浏览器皆已修补此漏洞。
根据Evants的说明,该漏洞可能让骇客利用浏览器载入CSS样试表(CSS style sheets)时注入貌似合法的字串,接着骇客可进一步让受害网站资料的URL出现在背景的印象里,然后从网页伺服器的logs里收集相关的资料。
Evants并提供了他与卡内基美隆大学所合作发表的相关防治研究报告。该报告指出,这种名为「跨源」(Cross-origin)的CSS攻击,可利用注入CSS来窃取受害网站的机密资料,而相关的防治方法已部署到Firefox、Chrome,及Safari,还有Opera。
根据该报告的说明,这种Cross-origin的CSS攻击最早在2002年见诸于文字说明,后来分别在2005年及2008年有两次发现。截至目前为止,所知的攻击都需要有JavaScript,而且大多数都和IE有关。
就在Evants揭露这个陈年漏洞之后,微软的安全回应中心在Twitter上表示,已经注意到被揭露的IE漏洞,并开始着手调查。不过根据国外媒体引述微软回应指出,微软说目前为止还未发现有任何锁定该漏洞的相关攻击。