和bho钓鱼相互应
以色列安全研究人员Aviv Raff称,微软IE7中存在一个缺陷,可以让钓鱼欺诈网站伪装成正常网站,诱导用户上当受骗。
Aviv Raff指出,问题出现在IE7处理本地HTML错误信息页面的过程中,比如如果用户临时取消网页的载入,就会出现那个熟悉的“已取消到该网页的导航”页面,并提供“刷新该网页”的链接,而一旦用户点击这一链接,就可能陷入虚假网页的欺骗。
Raff已经发布了概念验证型代码,演示IE7如何被骗显示了他的网站,而看起来却像是在显示cnn.com。他说,我可以插入一段Script代码,让IE7在刷新时显示任何我想要的页面,包括钓鱼欺诈内容。
Raff指出,这是IE里常见的跨网站脚本缺陷,Windows XP和Windows Vista下都无法幸免。IE7此前暴露的几个漏洞也属于此类。
微软已经开始就此展开调查。虽然尚未发现任何实际攻击,但在微软发布补丁前,最好不要轻信IE的错误页面。
