十月
20
2006

IE 7 的第一個安全性考試 : 不及格 !!

IE 7 從10月18日提供正式版下載到今天不過短短兩天

不過從Microsoft Watch IE 7 Fails Its First Security Test 這篇文章

可以看到IE 7雖然提供了更多的功能,但也承襲了微軟一貫的傳統 …. 補不完的漏洞,上不完的 hotfix

文章中提到兩點

1. mhtml URI headler :

這個漏洞將可以使其他網站來讀取你的私人資料.

也就是說如果你登入了你的網路銀行,其他網站就可以透過這個漏洞去得到你在銀行的私人資料

這個漏洞在2006年4月就由Secunia提出,那時候還是IE 6的時代

這個漏洞從IE 6一直延伸到IE 7的時代

不知道微軟哪時候才會處理這個漏洞

2. 關於spoofing 和 phishing :

看起來微軟似乎對這方面做了很大的努力

可是道高一尺,魔高一丈

詐欺的人首先將使用者騙到假的網站,

然後程式自動開啟真正的安全網站(就是有鎖頭標誌的網站)

讓使用者相信自己是到正確的安全的網站

然後就輸入了自己的帳號,密碼等私密資訊

令人感到疑惑的是,假網站去開啟真網站

他們居然使用相同的session

也就是說當使用者在真的網站輸入自己的私密資料時

假網站也很開心的接收了你所輸入的個人資料

這兩個漏洞實在是不像一個讓我們等了那麼久的瀏覽器應該發生的問題

希望微軟能夠盡快解決這些漏洞

而不是趕著讓Vista出貨,而將一個存有嚴重漏洞的瀏覽器硬塞給大家

Comments are closed.