CNET科技资讯网6月12日国际报道 微软与Mozilla均承认各自的浏览器存在可导致信息被窃的安全漏洞,但表示该漏洞很难利用,因此风险不高。
安全专家上周发出警告,IE、Firefox和其他Mozilla浏览器处理JavaScript的方式均有瑕疵,攻击者可利用这个问题私下上传文件,破坏人们的个人信息。
但利用该瑕疵需要使用者相当程度的互动,微软与Mozilla认为风险不大。两家公司都不愿匆忙赶制修补方案,只计划在未来的更新中解决问题,但并未确定是哪一次更新。
一名微软代表的电邮声名指出:“这个弱点无法让恶意攻击者在远端执行程序,而是需要使用者有效的互动,才可能造成信息曝光。微软计划在未来的IE版本解决这个弱点。”
Mozilla工程副总Mike Schroepfer也作出类似评论,他以声明表示:“这是个相对低严重性的问题,因为它需要特定的使用者动作,且没有远端执行程序的风险。也就是说,我们认真看待每一个问题,并且正在为往后发布的Firefox研究修补方案。”
根据赛门铁克与Secunia上周发出的警报,该瑕疵与JavaScript的“OnKeyDown”事件侦听程序相关。攻击者可制作一个恶意网站,暗自捕捉使用者的键盘记录至隐藏的信息上传对话框,然后启动上传。攻击若要成功,受害者必须键入攻击者需要下载的“完整”文件途径。赛门铁克指出:“这需要目标使用者大量的键入信息。”攻击者最可能以键盘游戏或博客等网页利用该弱点。
微软强调,目前尚未接获任何利用该弱点的攻击通报。Secunia表示,这项安全瑕疵的特点是,常用的浏览器几乎无一幸免,包括所有版本的Firefox、Mozilla SeaMonkey、Mozilla Suite、Netscape和微软的IE。Secunia将此问题等级列为较低的“不甚紧急”。
Mozilla的浏览器这次全部上榜,Opera Software的同名浏览器这次不在影响范围内。安全专家建议用户,不要在不明或不信任的网站输入信息,或干脆关闭JavaScript。
