Windows Internet Explorer 7 发现地址栏欺骗漏洞

美国 Secunia 在当地时间 10 月 25 日,发现了一个 Windows Internet Explorer 7(IE7)中的弹出窗口的地址栏伪装欺骗漏洞,有可能会被应用于钓鱼欺诈等恶意使用。

这次公开的这个安全漏洞是在 10 月 18 日正式版(只有英文版)发布的 IE7 中发现的。在 Web 页面或 HTML 电子邮件中,点击经过处理的链接的时候,可能会弹出与实际地址(URL)不同的弹出窗口。也就是说,可以伪装弹出窗口的地址栏。

Secunia 也准备了一组表示可以伪装地址栏的演示页面。在 IE7 中点击演示页面后,在 Secunia 的网站中所存在的网页内容,在地址栏上却显示的是美国微软的 URL 地址(http://www.microsoft.com/)。
ph1

如果这个漏洞被恶意使用的话,比如可以用于钓鱼网站中显示正当企业的网页中欺骗用户要求输入一些个人信息之面的页面。

根据微软的安全小组(Microsoft Security Response Center(MSRC))在确认这个安全漏洞之后,表示识破该漏洞是十分简单的。比如,只要点击一下在弹出窗口中的地址栏下拉菜单之后,就会出现原始的实际地址。
ph2

另外,由于 IE7 中还加入了钓鱼欺诈检测功能(Phishing Filter),就算出现了利用此漏洞的网站,只要 Phishing Filter 处于启用状态,也可以避免被攻击。

MSRC 表示,到现在为止,并没有发现利用这个漏洞的恶意攻击,并且将继续监视与调查该漏洞。

另外,据美国 SANS Institure 的消息,对于这个漏洞,如果将弹出窗口设置为标签方式显示的话,可以完全防御该攻击。

具体的操作是,点击 IE7 的“Tool”菜单,选择“Internet Option”。点击在“General”选项卡中的“Tab”项目的“Setting”,在“Tabbed Browsing Setting”的对话框中的“When a pop-up is encountered:”选择“Aways open pop-ups in a new tab”。其默认是“Always open pop-ups in a new window”。