| 6月6日,多家安全机构对外警告称:在Winodws、Linux及Mac操作系统上运行的IE、火狐(Firefox)、Mozilla和SeaMonkey浏览器,存在着一个JavaScript漏洞,并很可能被攻击者利用,以骗取用户的信用卡号、银行帐号及密码等个人敏感信息。 安全防护软件厂商赛门铁克(Symantec)在6日下午对外发表警示:通过对JavaScript主要过滤功能的攻击,微软和Mozilla所有版本的浏览器可能会成为攻击者用来获得用户数据资料的工具。据其介绍:该问题主要是由JavaScript的“OnKeyDown(按下按键)”事件引发的,该事件的主要功能是捕获并复制用户对按键的操作行为。 据悉,该漏洞对用户在填写如在线购物时的信用卡信息这类表单时发生的键盘敲击动作,能够记录到同页面内一个隐藏的文件上传对话框中。一旦用户的信息让这个隐藏的对话框所捕获,便将被发送给攻击者。 只有用户手动输入攻击者想要下载的文件全部路径,或目标用户输入其个人的真实信息,该漏洞才能被攻击者利用来达成其最终目的。因此键盘类游戏、博客或其它类似的网站,很有可能会被攻击者利用,做为诱使用户输入个人信息的工具。 Secunia是丹麦的一名漏洞攻击者,他同样在6号时对这一缺陷发出了警告,并将其排名到5种系统危机的倒数第二位。 这个漏洞之所以不同,在于其不仅涉及到打上所有补丁的IE 6.0,甚至危及到IE7 Beta2版本,还有火狐(英文名:Firefox,目前最高版本是1.5.0.4)、Mozilla套件及独立开发的Mozilla后续浏览器SeaMonkey都统统无法逃脱。还有该漏洞涉及范围之广也是非比寻常的,使用Winodws、Linux及Mac操作系统的用户都面临着可能被攻击的危险。 Charles McAuley是第一个于5日在全面揭露安全邮件列表上公布该漏洞消息的人,他同样发布了示范如何利用该漏洞的一段代码。 赛门铁克建议用户不要访问不熟悉的网站;及取消以上涉及的浏览器的script或活跃内容功能。 |
