安全研究人员克里斯·埃文斯最近表示,微软IE浏览器的一个漏洞会泄露信息,可用于窃取数码安全令牌和其他敏感的数据,而这个漏洞披露超过两年却无人搭理。该缺陷存在于IE的错误的JavaScript处理机制,某些情况下,部分内容会回显给攻击者,使他们能够取得敏感的JavaScript变量,这可能会导致安全令牌被盗取,制造跨站攻击,例如可以迫使用户未经允许订阅一个有害的内容。
Firefox那时也曾经一同受到类似攻击,但在2008年12月,也就是漏洞披露当月就已经被修补。
微软发言人对此回应称这是一个低严重性的信息泄露漏洞,要实现成功的攻击需要受害者在特定情况下才能实现,目前微软没有检测到利用该问题实现的攻击,但会尝试更新以解决此问题。