來源 :

(原文報導)

(中文報導)


瀏覽器安全性優劣的議題中再度記上一筆

一位安全研究人員發現在IE的一個稱為XmlHttpRequest的JavaScript元件, 無法有效驗證由本機電腦所提供的資料欄位, 導致攻擊者藉由偽裝網站方式下, 以特定程式碼直接存取瀏覽器的快取空間.

這個漏洞被指定為中度風險等級, 值得注意的是安裝Windows XP Service Pack 2 以及 Internet Explorer 6.0 用戶都是可能受害對象, 目前要完全避免此風險的方法, 是到網際網路選項中的安全性設定設到"高安全性"

ms公司隨即發表聲明, 表示該漏洞不會被軟體廠商誤用導致任何客戶受害, 也將提供安全性更新; 同時ms公司也對問題被發佈的方式表達不滿, ms公司敦促安全專家以私下管道提供資料的方式讓公司作好修補措施

ms已在月初針對Windows與IE計畫最新的安全修補程式; 早在幾位安全專家主動發表的一些漏洞中, 已有部份可導致使用者電腦被攻擊者取得控制權的危險; 已被公布的IE漏洞目前共計86個, 其中有20個屬於"標記尚未修補"

(更正)

原文報導的網頁記載之風險等級是 "Moderately critical" . 本人譯成高風險, 應該是錯誤的, 故修正為中度風險....