CNET科技资讯网 12月20日国际报道 美国加利福尼亚州的一家安全公司警告称,微软IE中存在一个尚未没有修正的缺陷,可能使黑客挟持、访问Google Gmail帐户。
Cenzic在本周一发布的一份安全公告中表示,IE包含有一个缓冲文件缺陷,再加上Google Gmail中一个跨站点请求仿造缺陷,就会泄露Gmail帐户登录资料,使其他人访问这些帐户,以及其中的邮件或邮件附件。
尽管并非一个能够被远程利用的缺陷━━黑客必须能够使用PC,但是,这并不意味着黑客不能发动攻击。Cenzic说,这些缺陷可能使一台共享计算机的所有用户面临受到攻击的危险。
Cenzic在安全公告中说,Gmail在这一缺陷中有份儿,因为当使用“查看源代码”命令时其URL会显示附件。IE则不恰当地使用了缓冲目录,对缓冲的IE文件没有正确地进行权限检查。
综合利用这两个缺陷可以让使用一台共享PC的黑客劫持曾经在该PC上访问过的Gmail帐户。只有在增添新文件,或者用户使用“删除浏览历史”命令明确地指令浏览器清除缓冲区时,IE才会删除其缓冲区中的文件。
微软否认IE中存在一个缺陷。周二上午,微软一名发言人说,微软已经对这一问题进行彻底的调查,发现这并非一个产品缺陷。他说,为了修改缓冲区中的文件,黑客必须能够使用用户的计算机,这样,黑客可以在用户的计算机上安装来意软件,这比Cenzic在报告中所描述的攻击要严重得多。
Google没有就这一问题发表评论。