意大利一名獨(dú)立互聯(lián)網(wǎng)安全研究員日前發(fā)現(xiàn)微軟IE瀏覽器存在一個(gè)新漏洞,黑客可以利用該漏洞竊取包含F(xiàn)acebook、Twitter等網(wǎng)站用戶名和密碼在內(nèi)的Cookie文件。
這名互聯(lián)網(wǎng)安全研究人員名為羅薩里奧·瓦羅塔(Rosario Valotta),他將上述黑客技術(shù)稱作是從Cookie劫持(Cookiejacking)。
瓦羅塔說:“Cookiejacking無所不能,不論是任何網(wǎng)站、任何Cookie文件,一切超乎想象。”
瓦羅塔稱,黑客可以利用IE瀏覽器上的漏洞訪問瀏覽器內(nèi)部的Cookie數(shù)據(jù)文件,后者包含了網(wǎng)站賬戶上的登錄名和密碼。一旦黑客得到Cookie文件,他們就可以登錄到對應(yīng)的網(wǎng)站中。
瓦羅塔稱,此次安全漏洞將影響到所有Windows系統(tǒng)版本上的所有IE版本瀏覽器,包括微軟新推出的IE9。
為了利用這個(gè)漏洞,黑客需要在IE瀏覽器的Cookie前誘使用戶在PC屏幕上拖拽某個(gè)對象。這聽起來似乎是一個(gè)艱難的任務(wù),但瓦羅塔稱他能輕松實(shí)現(xiàn)這一目標(biāo)。瓦羅塔在Facebook上設(shè)置了一個(gè)謎題,解答出該謎題的用戶就能夠看到一位美麗女子的裸照,瓦羅塔說:“我把這個(gè)游戲放在了Facebook上,結(jié)果不到3天的時(shí)間內(nèi),有超過80份Cookie文件發(fā)到了我的服務(wù)器上,而且這還是我的Facebook上只有150位朋友的前提下。”
不過微軟認(rèn)為黑客在現(xiàn)實(shí)世界中成功使用Cookie劫持騙局的可能性并不大,微軟發(fā)言人杰瑞布·萊恩特(Jerry Bryant)表示,考慮到它需要用戶的參與,我們認(rèn)為這個(gè)漏洞風(fēng)險(xiǎn)并不高。用戶首先得訪問惡意網(wǎng)站,然后被說服點(diǎn)擊和拖拽頁面上的對象,這樣黑客還只能竊取包含用戶已登錄賬戶的網(wǎng)頁Cookie文件。”
京公網(wǎng)安備 11010502049343號