作為“破鼓萬人捶”的一個典型,微軟公司年邁的 Internet Explorer 瀏覽器再一次被攻擊者們給盯上,曝出了一個可被第三方記錄用戶瀏覽習慣的 bug 。據 Web 安全專家 Michael Caballero 在近日的一篇博客文章中所述,該 bug 會在頁面加載惡意 HTML 對象、并結合兼容性模式元標簽頁時出現。當用戶訪問黑客或廣告站點的時候,會被允許定制的 HTML 或 JavaScript 代碼。
一段代碼運行之后,該惡意標簽頁可在無意中捕捉原本旨在主瀏覽器窗口中可用的信息。
結果就是,攻擊者(和其它攻擊方)也可借此劫持主機用戶的數據,將它用于其它惡意活動、或為廣告目的而收集用戶數據。
Caballero 已經提供了一份供任何人“調試”該 bug 的代碼,感興趣的網友可以戳這里去實驗一下(傳送門*1)。
盡管微軟已經“放棄”IE,將全部精力轉向了 Windows 10 平臺上新引入的 Edge 瀏覽器,但前者龐大的安裝基數使得這一安全隱患仍不可小覷。
Caballero 在博客中指出:“在我看來,微軟想要擺脫 IE,但還沒有明說出來”。
大約一年前,該安全專家還披露過 Microsoft Edge 瀏覽器的一個漏洞,該漏洞使得技術支持詐騙者們可以利用 SmartScreen 技術來干壞事。
京公網安備 11010502049343號