IE再現高危漏洞 WinXP SP2也難倖免

據賽迪網12月18日報導，Secunia表示，這一IE漏洞是由DHTML Edit ActiveX控制項中的「跨站點腳本漏洞（cross-site scripting）」產生的，由於該漏洞存在於IE瀏覽器本身，因此它可以被用來攻擊任何網站。

根據Secunia公布的漏洞細節，所有的IE瀏覽器都存在這一漏洞，包括目前被認為最安全的Windows XP SP2中的IE版本。利用這一漏洞，黑客可以製造虛假的網址和SSL簽名，從而得以偽造任何網站的內容。

Secunia首席技術長湯馬斯．克里斯騰森(Thomas Kristensen)表示，該IE漏洞危險性極高，因為在使用跨網站腳本時，網站的網址及SSL簽名顯示均是合法的，用戶不會發現任何異常現象，而事實上是惡意腳本控制的結果。

Kristensen說，黑客可以通過惡意站點來控制地址框中所顯示的URL鏈接，因此用戶根本無法察覺是否遭到攻擊。用戶只要點擊黑客所提供的鏈接，那麼瀏覽器就會自動打開。而且，用戶只能短暫地看到惡意站點的URL鏈接，此後顯示的便是虛假的合法站點鏈接。

目前，微軟公司發言人尚未對此發表任何評論。此前，微軟曾經多次因安全公司公布漏洞之前沒有首先通知該公司而表示不滿。