一個(gè)IE漏洞披露兩年竟無(wú)人重視？

Win7之家（ afsion.com.cn）：一個(gè)IE漏洞披露兩年竟無(wú)人重視？

安全研究人員克里斯·埃文斯最近表示，微軟IE瀏覽器的一個(gè)漏洞會(huì)泄露信息，可用于竊取數(shù)碼安全令牌和其他敏感的數(shù)據(jù)，而這個(gè)漏洞披露超過(guò)兩年卻無(wú)人搭理。

該缺陷存在于IE的錯(cuò)誤的JavaScript處理機(jī)制，某些情況下，部分內(nèi)容會(huì)回顯給攻擊者，使他們能夠取得敏感的JavaScript變量，這可能會(huì)導(dǎo)致安全令牌被盜取，制造跨站攻擊，例如可以迫使用戶未經(jīng)允許訂閱一個(gè)有害的內(nèi)容。

Firefox那時(shí)也曾經(jīng)一同受到類似攻擊，但在2008年12月，也就是漏洞披露當(dāng)月就已經(jīng)被修補(bǔ)。

微軟發(fā)言人對(duì)此回應(yīng)稱這是一個(gè)低嚴(yán)重性的信息泄露漏洞，要實(shí)現(xiàn)成功的攻擊需要受害者在特定情況下才能實(shí)現(xiàn)，目前微軟沒有檢測(cè)到利用該問題實(shí)現(xiàn)的攻擊，但會(huì)嘗試更新以解決此問題。

查看測(cè)試頁(yè)面:CLICK TO GET YOUR GOAT ON - THIS COULD BE AUTOMATED