php nginx HTML5 java centos shell google Python 微软 Ubuntu Firefox linux mysql linux命令 Windows 程序员 wordpress 开源 Android apache

使用IE上网可能泄漏密码,微软懒理

微软浏览器IE又被发现新漏洞,该漏洞允许攻击者跟踪屏幕上的游标,令用户有泄漏密码给第三者的风险。受影响的版本包括IE6、IE7、IE8、IE9和IE10,微软表示早已得悉漏洞的存在,但暂时无意推出任何补救方案。

该漏洞由Spider.io首次发现,数家网路安全公司也已经在2012年10月向微软报告。漏洞允许攻击者跟踪屏幕上的游标位置,即使IE浏览器被最小化,滑鼠游标会仍然继续被跟踪。当用户使用屏幕上的虚拟键盘输入资料,屏幕上的游标轨迹便会被记录下来,包括用户输入登入名称和密码的时候。图中左方显示的是Skype的虚拟键盘画面,加右边是透过IE追踪得来的滑鼠轨迹。

输入号码后按通话键,攻击者便可猜测电话号码已经输入完成。同样地用滑鼠输入用户名称和密码,再按“登入”键,输入的网上银行、信用卡号码等资料便有机会外泄,前提是攻击者已经知道你正在浏览什么网站或使用什么服务。

想亲自领教一下这个漏洞,可以用IE存取示范页面。使用Chrome和Firefox存取时不会有任何事发生,但用IE的话你在画面上的滑鼠操作,便会即时反映在网页上。Spider.io表示攻撃者只要在网页上购入广告位置并加入程式码,便能取得游标轨迹,保安专家呼吁大家在漏洞被修正前应改用Chrome和Firefox上网,尽量不要使用IE。

延伸阅读

评论