四種新的瀏覽器有嚴(yán)重漏洞

ansonli8310

最近又有四個(gè)新的針對(duì)Internet Explorer和Firefox的漏洞被公布，其中各自占兩個(gè)。安全研究員Michal Zalewski首先發(fā)現(xiàn)了這四個(gè)漏洞，四種新的瀏覽器有嚴(yán)重漏洞。
最嚴(yán)重的Bug是IE中的一個(gè)可能導(dǎo)致cookie被偷竊或者設(shè)置，頁(yè)面劫持，以及內(nèi)存崩潰的漏洞。Zalewski 把它叫做“引誘與切換隱患”。
同一域中從某網(wǎng)頁(yè)導(dǎo)航到另一個(gè)網(wǎng)頁(yè)會(huì)允許攻擊者執(zhí)行惡意的JavaScript代碼，這些代碼在前一頁(yè)中已經(jīng)得到驗(yàn)證。這個(gè)問(wèn)題也影響到完全打好補(bǔ)丁的IE6與IE7。
在Firefox中的隱患被認(rèn)為是次嚴(yán)重的漏洞。在此漏洞中，存在一種跨站點(diǎn)IFRAME劫持攻擊。攻擊者可以用about:blank頁(yè)面在瀏覽器中發(fā)動(dòng)鍵盤(pán)記錄與內(nèi)容欺騙攻擊。
出現(xiàn)在Firefox中的另一個(gè)問(wèn)題會(huì)導(dǎo)致未經(jīng)同意就下載文件或?qū)е挛募�的�?zhí)行。所謂的“模糊”與“聚焦”操作繞過(guò)延遲計(jì)數(shù)器和下載確認(rèn)過(guò)程，結(jié)果導(dǎo)致了這個(gè)漏洞的出現(xiàn)。
最后，在IE6中存在的欺騙漏洞允許一些特殊處理過(guò)的網(wǎng)站改變地址欄中的數(shù)據(jù)，而IE7并不受影響。

donkeuchoy

恩，我覺(jué)得值得學(xué)習(xí)啊，頂你

stig_rossen

好好學(xué)習(xí)了，真的不錯(cuò)哦