研究人员Eduardo Vela Nava和David Lindsay上个星期在黑帽会议上演示了黑客如何利用IE8的跨站脚本过滤器对本来应该有免疫能力的网站实施的攻击。跨站脚本过滤器是微软去年发布的IE8测试版中的一项反恶意软件功能。这个演示促使微软决定更新IE8浏览器。研究人员称,容易受到这种攻击的网站包括微软自己的Bing搜索引擎、 Digg、Google、Twitter、Wiki百科等许多网站。
这两位研究人员称,IE8使用一种“中性化”技术阻止跨站脚本攻击的企图,问题是攻击者能够为自己的目的操作这种机制。他们在黑帽会议上发表的论文称,攻击者能够利用这种行为阻止客户端安全功能发挥作用。在某种情况下,这会导致在跨站脚本攻击。
虽然微软在今年1月和3月发布的应急补丁MS10-002和MS10-018中已经处理了Vela Nava和Lindsay提出的一些攻击情况,但是,微软本周一称,它会发布一个跨站脚本过滤器更新软件以阻止另一个可能的攻击途径。
微软安全响应中心的一位工程师David Ross在博客中称,这种变化将解决黑帽欧盟会议上演示的一种脚本标签攻击情况。与安全补丁不同的是,IE8浏览器的跨站脚本过滤器一般是动态更新的并且是在后台更新的。但是,微软发言人本周二说,微软计划在6月份发布这个补丁而不是立即发布这个补丁是为了给企业一些时间进行测试。 |
|
