天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

微软再修复IE8漏洞 严防跨站攻击

2010-4-22泡泡网佚名
div id="ArticleCnt">

  研究人员Eduardo Vela Nava和David Lindsay上个星期在黑帽会议上演示了黑客如何利用IE8的跨站脚本过滤器对本来应该有免疫能力的网站实施的攻击。跨站脚本过滤器是微软去年发布的 IE8测试版中的一项反恶意软件功能。这个演示促使微软决定更新IE8浏览器。研究人员称,容易受到这种攻击的网站包括微软自己的必应搜索引擎、 Digg、谷歌、Twitter、维基百科等许多网站。

  这两位研究人员称,IE8使用一种“中性化”技术阻止跨站脚本攻击的企图,问题是攻击者能够为自己的目的操作这种机制。他们在黑帽会议上发表的论文称,攻击者能够利用这种行为阻止客户端安全功能发挥作用。在某种情况下,这会导致在跨站脚本攻击。

微软再修复IE8漏洞 严防跨站脚本攻击

  虽然微软在今年1月和3月发布的应急补丁MS10-002和MS10-018中已经处理了Vela Nava和Lindsay提出的一些攻击情况,但是,微软本周一称,它会发布一个跨站脚本过滤器更新软件以阻止另一个可能的攻击途径。

  微软安全响应中心的一位工程师David Ross在博客中称,这种变化将解决黑帽欧盟会议上演示的一种脚本标签攻击情况。与安全补丁不同的是,IE8的跨站脚本过滤器一般是动态更新的并且是在后台更新的。但是,微软发言人本周二说,微软计划在6月份发布这个补丁而不是立即发布这个补丁是为了给企业一些时间进行测试。

本文来源:泡泡网 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行