虽然Secunia在IE7发布24小时内就挑出了一条“虫子”,但微软说那只是Outlook Express的问题,与IE7无关。看来Secunia有点儿不服气,因为他们这次再次找到了货真价实的IE7安全漏洞,而且触及了IE7的重点改进之处:反钓鱼欺骗。
Secunia的安全报告称,IE7的这一漏洞允许恶意网站在弹出包含欺骗性地址的窗口,攻击者可利用这一弱点哄骗用户,使之在访问恶意页面的时候还以为正在浏览可信任网站。
Secunia还给出了一个实际演示:弹出窗口显示的地址是微软网站http://www.microsoft.com,页面内容却是Secunia的。
微软代表在一封E-mail中承认,IE7地址栏显示网址的方式存在问题,因此如果攻击者采用特殊格式的链接,弹出窗口就会不显示网址的左半部分,从而迷惑用户;不过微软指出,如果点击浏览器窗口或者地址栏,然后拖动,真实网址就会全部显示出来,而且如果IE7的反钓鱼屏障能识别恶意网站,攻击也不会成功。
微软称,目前尚未发现该缺陷遭到实际利用,而且相关补丁会在今后提供。
用句比较俗的话说就是:虽然IE7和Firefox2已经发布,但一切才刚刚开始。
