IE浏览器现安全漏洞泄漏用户在地址栏中输入的内容微软的IE浏览器似乎存在一个危险的漏洞

微软的IE浏览器似乎存在一个危险的漏洞，它允许恶意网站检测用户在其网页地址栏中输入的内容。包括用户输入的网址以及IE浏览器通过Bing搜索自动处理的搜索关键词。

漏洞的触发条件

这个漏洞由安全研究员Manuel Caballero发现，Caballero认为这个漏洞会泄漏用户的隐私。它可以被黑客用于寻找攻击目标的侦察活动，也可被在线广告商用于采集客户数据。

触发IE浏览器的这个漏洞需要同时满足两个条件：1、加载的页面中必须存在一个恶意的HTML标签;2、其源代码中必须包含一个属性。事实证明这两个条件很容易同时达到。

条件1：黑客能够在恶意网站中隐藏一个恶意HTML标签，而在线广告商能够通过自定义HTML或JavaScript代码的在线广告来加载一个恶意HTML标签;

条件2：X-UA-Compatible是IE浏览器的一个属性，它能够强制IE浏览器采用低版本方式渲染，使得网页开发者在设计网页时无需考虑网页是否兼容高版本的IE浏览器。因此，几乎所有的网站都有这个属性。

漏洞如何出现

根据Caballero的说法，当JavaScript代码运行恶意HTML标签时，页面的位置坐标会发生混淆并返回主页面而不是自己的位置。这意味着隐藏在页面中的恶意HTML标签可以访问到主页面中用户的浏览记录和其他存储的信息。

Caballero在一份技术性的漏洞报告中写到：“恶意HTML标签可以在用户离开主页面时检索该对象的location.href，攻击者便能够知道用户在网页地址栏中输入了什么内容。”

Caballero同时也将利用该漏洞的演示视频上传到了Youtube，视频地址如下：

http://youtube.com/watch?v=xyzd7PLqAV8

在这之前，Caballero还发现IE浏览器的另一个漏洞，该漏洞使得即使用户在已经关闭了恶意页面的选项卡的情况下，恶意JavaScript代码仍可以在浏览器的后台继续运行。在线广告商能够利用这个漏洞来传播恶意广告，而黑客能够通过占用受害者计算机的CPU资源将该计算机变为一名加密货币矿工(cycryptocurrency miner)。

此外，Caballero也在微软最新的Edge浏览器中发现了大量安全漏洞。其中一些已经被微软修复，但并不是全部。

转载自“转自黑客视界”

联系我们

电话：（0755）83460032 400-638-8808微信：天下数据IDC地址：广东省深圳市官网：http://www.idcbest.hk

IE浏览器现安全漏洞 泄漏用户在地址栏中输入的内容

IE浏览器现安全漏洞泄漏用户在地址栏中输入的内容