其中的一个缺陷是,在一个标签式窗口中打开的恶意网站可以访问在另一个标签式窗口中输入的信息;另一个缺陷是,恶意网站能够打开一个似乎显示在另一个标签式窗口中的对话框。
Secunia公司的技术总监托马斯·克里斯廷森说:“我认为之所以出现这样的问题,是开发商在开发浏览器时,没有考虑到将所有浏览器标签放到一个应用程序窗口中造成的后果。这就是问题的症结。”
Secunia公司建议,使用标签式浏览功能的用户在访问非信任网站时,不要用JavaScript功能或访问信任网站。
周二,KDE项目组在最新版本的Konqueror浏览器中修正了上述两个缺陷。Mozilla基金会的设计主管克里斯·霍夫曼称,在发布Firefox 1.0时将修正上述两个缺陷。目前,还没有听到Opera对这两个缺陷的意见。
微软的IE浏览器也正在受“折磨”——安全研究人员Http-equiv发现了IE浏览器中存在两个更严重的安全缺陷:第一个缺陷拓展了在8月份被发现的所谓“拖放缺陷”的功能,利用该缺陷,黑客可以在受感染的计算机上安置HTML代码。
据Secunia公司的公告称,第二个更为严重的安全缺陷是,能够绕过Windows XP SP2中的安全机制,今年8月份发布的Windows XP SP2曾加强了有关XP操作系统的安全保护。即便是本月发布的SP2的补丁软件也无法阻止黑客利用该缺陷在用户的计算机上执行HTML文档。
黑客要是将这两个缺陷一起使用的话,就能在用户的计算机上安置、执行恶意代码。Http-equiv在一封电子邮件中称,这两个缺陷不是什么新缺陷,而是原来缺陷的拓展。
微软公司认为黑客要利用这两个缺陷并不容易。它在一份声明中说,早期报道显示,黑客需要用户执行一系列操作后才能发动攻击。首先,黑客需要诱使用户访问一个“特殊”的恶意网站,其次是诱使用户在该网站上执行一系列的特殊操作,然后再重启动计算机或中止网络连接,这一切都完成后,黑客的目的才能得逞。微软公司还没有接到有关客户因这两个缺陷而受到攻击的报告。
Secunia公司的技术总监托马斯·克里斯廷森说,与其它浏览器相比,IE浏览器这存在的缺陷产生的影响非常巨大,这些缺陷很严重,应该及时修正。 (中青网 )