研究人員：IE 11含有嚴重XSS攻擊漏洞

來自安全顧問公司Deusen的研究人員David Leo透過Full Disclosure郵件論壇表示，IE 11含有一個跨站指令碼（Cross Site Scripting, XSS）攻擊漏洞，讓駭客可以完全繞過同源法則（Same Origin Policy）從外部注入惡意程式到特定網站或是竊取特定網站的資料。

同源法則為網路應用安全的一個重要概念，它限制程式碼（例如JavaScript）只能存取或操作同一網域名稱的DOM，但該漏洞卻允許駭客從外部網站在另一個網站注入程式。

Leo展示了該漏洞，當使用者以IE 11造訪Daily Mail網站時，會跳出一個視窗，顯示Daily Mail網站已遭他挾持。當網站遭到相關攻擊時，駭客就能竄改或竊取該站的內容，包括記錄造訪該站的使用者所輸入的內容。此一漏洞影響了Windows 7與Windows 8.1上所執行的IE 11。

Leo已經在去年10月向微軟提報該漏洞。微軟則表示，目前尚未發現針對該漏洞的實際攻擊行動，同時也正在進行修補。此外，要攻擊該漏洞駭客必須先引誘使用者造訪惡意網站，而且用來阻擋網釣網站的SmartScreen功能在較新版IE的預設值都是啟用的。微軟並呼籲使用者避免開啟不明來源的網站連結。（編譯/陳曉莉）