北京时间5月26日上午消息,意大利一名独立互联网安全研究员日前发现微软IE浏览器存在一个新漏洞,黑客可以利用该漏洞窃取包含Facebook、Twitter等网站用户名和密码在内的Cookie文件。
这名互联网安全研究人员名为罗萨里奥·瓦罗塔(Rosario Valotta),他将上述黑客技术称作是从Cookie劫持(Cookiejacking)。
瓦罗塔说:“Cookiejacking无所不能,不论是任何网站、任何Cookie文件,一切超乎想象。”
瓦罗塔称,黑客可以利用IE浏览器上的漏洞访问浏览器内部的Cookie数据文件,后者包含了网站账户上的登录名和密码。一旦黑客得到Cookie文件,他们就可以登录到对应的网站中。
瓦罗塔称,此次安全漏洞将影响到所有Windows系统版本上的所有IE版本浏览器,包括微软新推出的IE9。
为了利用这个漏洞,黑客需要在IE浏览器的Cookie前诱使用户在PC屏幕上拖拽某个对象。这听起来似乎是一个艰难的任务,但瓦罗塔称他能轻松实现这一目标。瓦罗塔在Facebook上设置了一个谜题,解答出该谜题的用户就能够看到一位美丽女子的裸照,瓦罗塔说:“我把这个游戏放在了Facebook上,结果不到3天的时间内,有超过80份Cookie文件发到了我的服务器上,而且这还是我的Facebook上只有150位朋友的前提下。”
不过微软认为黑客在现实世界中成功使用Cookie劫持骗局的可能性并不大,微软发言人杰瑞布·莱恩特(Jerry Bryant)表示,考虑到它需要用户的参与,我们认为这个漏洞风险并不高。用户首先得访问恶意网站,然后被说服点击和拖拽页面上的对象,这样黑客还只能窃取包含用户已登录账户的网页Cookie文件。”