頂客論壇 » 電腦軟體研討 » 軟體資訊 » 『軟體新聞』IE 7.0才發表就出漏洞？微軟與安全業者各執一辭

『軟體新聞』IE 7.0才發表就出漏洞？微軟與安全業者各執一辭

蔡逸竹

孤獨者 - 心在黑暗裡旅行 ...... ...

至尊會員

Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7

遊蕩的過客 - 枉入紅塵若許年 .. ...

UID: 18273
帖子: 12122
精華: 1273
積分: 240737
金幣: 492641
威望: 5001
推廣: 0
閱讀權限: 99
來自: 尋覓中
註冊時間: 2006-6-24
最後登錄: 2015-5-27

總版主典獄長榮譽勳章陽光會員宣傳大使榮退獎章糾察隊長鍾愛一生勳章大學博士勳章守護天使勳章忠誠勳章高級糾察社區建設獎章社區巡守獎章社界宗師勳章資源專家勳章傳學大師勳章文壇大家勳章點評專家勳章終身成就獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

1樓大中小發表於 2006-10-21 01:16

『軟體新聞』IE 7.0才發表就出漏洞？微軟與安全業者各執一辭

微軟在接獲報告後旋即表示，該漏洞與IE 7.0或其他IE版本根本無關，而是藏在Outlook Express的元件中，只是經由瀏覽器觸發。

微軟甫於本週三（10/18）發表該公司最新瀏覽器IE 7.0，丹麥資安業者Secunia在幾個小時後就訪客無法瀏覽此圖片或連結，請先註冊或登入會員。IE 7.0含有「跨網域資訊洩露漏洞」（cross-domain information-disclosure），不過，微軟在接獲報告後旋即在訪客無法瀏覽此圖片或連結，請先註冊或登入會員。中澄清，表示該漏洞並非存在IE中，而是Outlook Express的元件。

Secunia宣稱該漏洞為一跨網域資訊洩露漏洞，表示當使用者被引誘連結到惡意網站，而且同時開啟另一金融網站，並登入及輸入個人資訊，那麼駭客就能竊取使用者資訊。

不過，要使用者連結到惡意網站，並同時開啟其他金融網站，而且要輸入可供竊取的機密資料之機率並不大，因此Secunia將此漏洞列為較不嚴重的風險等級。

Secunia並且表示此一漏洞影響Windows XP SP2作業系統版本上的IE 7.0，並且公佈該漏洞的概念性驗證程式。

微軟安全程式經理Christopher Budd在接獲報告後旋即在部落格上發表聲明，表示此一報告技術上來說是不對的，該漏洞與IE 7.0或其他IE版本根本無關。Christopher Budd說明，此漏洞是藏在Outlook Express的元件中，只是經由瀏覽器觸發。

有趣的是，Secunia在今年4月就曾指出在IE 6.0中擁有一樣的漏洞，但當時微軟似乎並未向Secunia說明該漏洞並非瀏覽器漏洞，才會導致這起烏龍事件。

Christopher Budd說微軟正在調查該漏洞而且密切注意中，目前並未接獲任何相關攻擊報告。