本周早些时候,Google曾就微软IE的CSS格式处理漏洞发布修复工具,帮助减轻漏洞隐患对IE的影响,为此,微软开发人员今天正式向Google同行们致谢,微软官方IE修复补丁也已进入紧密开发中。
IE新漏洞由以色列黑客Matan Gillon发现:Internet Explorer导入CSS格式页面的方式存在缺陷,使攻击者以用户名义获得个人数据,或者是远程执行操作。如果用户同时还安装了Google的Desktop Search,潜在破坏力将更强--用户所有个人资料将露无遗。
“根据我们的调查,该漏洞需要引导用户打开特定页面才可以发动进攻,因此其冲击效果有限。”微软安全调查部门员工Michael Howard表示。
Gillon还提供了相关证据,证明恶意代码与Google News结合有可能放大的潜在危害,不过,Google已经对存在的问题进行了修复。
“Google做了一件好事,及时保护了我们共有客户的服务器/PC数据安全,他们的工作十分出色。”Howard补充说。
“交叉域名安全隐患目前依旧存在于IE浏览器中,但是我们向您保证,微软正在就该隐患进行全面调查,一旦调查完成,我们将立刻将新IE补丁提供给所有微软客户。”
另外,Gillon此前已经表示,利用该漏洞的攻击针对IE6和Google桌面搜索工具2.0, 也可能适用于其他版本的IE。不过,使用火狐、Opera等非IE浏览器的用户则无需担忧。而IE用户可以通过禁止Javascript脚本运行来防范这种攻击。
