研究人員發現可欺騙IE上的location物件,取得使用者的搜尋網址列上輸入的URL或搜尋關鍵字。

圖片來源: 

截自Manuel Caballero示範影片

研究人員揭露微軟的Internet Explorer (IE)瀏覽器出現漏洞,讓使用者在網址列輸入不論是網址或是查詢關鍵字,都可能曝光。 

這個漏洞是由安全研究人員Manuel Caballero首先發現,它出現在IE的location物件中,這個物件讓人存取瀏覽器頁面的URL資訊。攻擊需要駭入某個網站在其中埋入一段HTML物件標籤,或是透過廣告軟體載入特定HTML或JavaScript程式碼。其次網頁還要加入compatibility metatag,這可以讓網站管理員(或攻擊者)選擇相容的IE版本。 

研究人員貼出的示範影片顯示(下),攻擊者嵌入的上述二類標籤再由IE載入後,location物件遭到欺騙,使惡意物件得以存取原本只有主瀏覽器視窗才看得到的資訊,即使用者輸入的所有內容,包括URL及查詢關鍵字。

 

研究人員認為,微軟應該要努力讓IE的安全性到達Microsoft Edge的水準,但他認為微軟既然要悄悄淘汰IE,那麼使用者最簡單的自保方法就是不要使用IE。 

根據研究機構NetMarketshare的數據,現有桌面瀏覽器以Google Chrome佔最大宗,達47.1%,其次則是IE的12.7% ,比較安全的Microsoft Edge只有4.61%。

熱門新聞

Advertisement