2011年5月31日 星期二

【病毒】資安專家發現IE存在「cookiejacking」風險


一名義大利資安研究人員Rosario Valotta宣稱發現一IE漏洞,可能導致駭客竊取PC中的cookies資料並進而登入一些密碼保護的網站
Rosario Valotta將此手法稱為"cookiejacking",他表示在每一個版本的Windows下的任何一種微軟IE版本都存在零時差漏洞,讓駭客得以盜取所有網站上的cookie
Rosario Valotta在本月於瑞士及阿姆斯特丹舉辦的資安會議上展示他的研究發現,他表示在攻擊此弱點前,駭客必須先利用社交工程讓受害者必須先拖曳物件至PC上,接著才有會竊取cookie
接著Valotta便Facebook上放了一個裸女照片,誘惑使用這將此照片拖曳至PC,接著Valotta就可以透過cookie取得使用者的Facebook登入資訊。
Valotta進一步表示,他只是在Facebook上放了一個遊戲,短短三天之內,他的伺服器便接收到超過80cookie,而他的Facebook上也不過只有150個朋友而已。
從以上觀點看來,微軟顯然還沒意識到cookiejacking所帶來的風險有多大。
微軟發言人Jerry Bryant在專訪中表示,由於這個漏洞仰賴相當程度的使用者互動,因此他們不認為這個弱點會讓使用者暴露於遠端程式碼執行的高度風險中。而且用戶必須造訪惡意網站,並且點選或拖曳頁面中的某些項目,駭客才有機會從使用者已經登入的網站上取得cookie,因此微軟認為用戶因此受攻擊的可能性不大。不過微軟仍建議所有客戶須盡量避免點選可疑的連結或email,同時也必須將網路設定調整至最高安全等級,以保障電腦的安全。 
(CNET Taiwan編輯部/Veronica Hsiao譯)

相關文章 :

0 意見: