据外电报道,著名安全研究专家、丹麦PivXSolutions公司的托尔·拉霍(ThorLarholm)称,尽管微软每周都在公布最新款式的流行漏洞,但是至少还有30个未揭露的弊端已被其发现,这些问题全部存在于微软的互联网浏览器IE中。
本周四,拉霍发表声明称,到目前为止,已有七个上述攻击点被微软承认并公示,而自己所持有的这一份黑色名单的研究成果完全是来自一位音译名为LiuDieYu的中国人。
据拉霍说,这些IE漏洞包括了几种不同的攻击原理。其中之一是误导用户输入,也即是能够被利用以将用户的鼠标重定向至某些特定的按钮控件,比如“确认”键,然后在鼠标发出释放指令之前自动提交表单,导致浏览器进入新的页面。
另外的一种则能够被黑客利用来从任意站点截取存储用户访问信息的cookies文件与敏感数据,这些个人隐私资料包括了电子邮件与银行账号等。
拉霍称,黑客若能将几种已被记录在该列表的漏洞结合利用,通过IE浏览器随意读取操作用户本地机密文件与发动网络恶意攻击都是完全可行的。
另据悉,LiuDieYu本人曾一度在国内网站公布IE6.0版本现存的一些问题并提示用户注意防备。 |
