一個IE漏洞披露兩年竟無人重視？

Win7之家（ afsion.com.cn）：一個IE漏洞披露兩年竟無人重視？

安全研究人員克里斯·埃文斯最近表示，微軟IE瀏覽器的一個漏洞會泄露信息，可用于竊取數(shù)碼安全令牌和其他敏感的數(shù)據(jù)，而這個漏洞披露超過兩年卻無人搭理。

該缺陷存在于IE的錯誤的JavaScript處理機(jī)制，某些情況下，部分內(nèi)容會回顯給攻擊者，使他們能夠取得敏感的JavaScript變量，這可能會導(dǎo)致安全令牌被盜取，制造跨站攻擊，例如可以迫使用戶未經(jīng)允許訂閱一個有害的內(nèi)容。

Firefox那時也曾經(jīng)一同受到類似攻擊，但在2008年12月，也就是漏洞披露當(dāng)月就已經(jīng)被修補(bǔ)。

微軟發(fā)言人對此回應(yīng)稱這是一個低嚴(yán)重性的信息泄露漏洞，要實現(xiàn)成功的攻擊需要受害者在特定情況下才能實現(xiàn)，目前微軟沒有檢測到利用該問題實現(xiàn)的攻擊，但會嘗試更新以解決此問題。

查看測試頁面:CLICK TO GET YOUR GOAT ON - THIS COULD BE AUTOMATED