IE总会出现各种各样的漏洞，而这一次被钓鱼者所利用的漏洞则充分做到了社会工程学与XSS的互相融合。以色列的安全研究者证实，有种攻击在利用微软最新的网页浏览器处理取消页面的方式所存在的漏洞来愚弄受害者。

该攻击利用IE7对特定的本地资源的信任，在用户取消访问一个固定网页的时候显示提示信息，以色利的一名安全研究员和软件开发员Aviv Raff说。钓鱼的人能够通过脚本来建立本地navcancl.htm页面的特别加工版本，该页面显示些像是来自可靠站点的内容。一旦受害者打开攻击者提供的链接，系统就会显示“撤销访问”页面，受害者就有可能认为该站点出了点问题，于是刷新页面。

“攻击者提供的内容——例如，伪造的登陆页面——会显示在窗口中，由于地址栏会显示真正受信的网站的URL，受害者会以为他正在访问真正的网站。”Raff在他的博客中写道。

这是一种新的欺骗手法，而且还使得每个访问者非常容易上当——谁能知道地址栏里的地址也是假的呢？

这是个最典型的漏洞：跨站点脚本(XSS)。根据常见漏洞项目调查数据显示，此类问题已经成为软件的第一大漏洞。但最糟糕的是，很多XSS漏洞使用户无法察觉钓鱼攻击，很多此类漏洞能够引起严重的安全问题，比如Google今年早些时候修正的那个严重的数据泄露漏洞。

一月份Apple Bugs项目中，Raff指出了QuickTime中的一系列的类似漏洞——被称为跨区脚本漏洞。

微软在发给SecurityFocus的声明中说，他们的研究人员目前正在调查该漏洞，但还没有发现有人利用该漏洞进行恶意攻击。该公司重申了他的政策：人们应当直接将漏洞汇报给软件开发者。

“微软鼓励人们努力找出漏洞，从而降低用户的风险”该公司称。“微软希望人们按照惯例那样，直接将漏洞汇报给我们公司，这样能最大程度地照顾到所有人的利益。”

Raff说这个IE7漏洞在Windows XP和Windows Vista系统上都能起作用。

上报漏洞能很快，但也希望微软能够更快的为漏洞打上补丁！

=============================================

【参考文章】《Flaw finder warns of IE 7 phishing hole》(SecurityFocus,Robert Lemos)

(T003)

【相关文章】

不要被迷惑　IE里的安全连接一样不安全

令人汗颜的IE最新漏洞（MS06-067）测试

IE7新漏洞可导致用户掉入网络诈骗陷阱

黑客编程之绝对调用IE浏览器的弹出窗口

频道声明：本频道的文章除部分特别声明禁止转载的专稿外，可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。 原始作者:佚名 录入时间:2007-3-31 1:37:46 信息来源:不详 投稿信箱:itqoo@126.com