作者:BlackWing
安全研究人员表示,微软和Mozilla的浏览器都存在JavaScript隐患并有可能导致系统被控制的危险,但是微软和Mozilla都表示这一漏洞很难被利用,所以暂时不会采取行动。
出于这样的原因,这两个公司都不会针对这一问题推出独立的补丁。而他们会在未来版本解决这个问题。它们表示,缺少用户的交互,这一漏洞很难被利用,所以暂时不会推出补丁。
根据Secunia关于这一问题的安全公告透露,这个隐患存在于JavaScript的“OnKeyDown”事件中。公告中表示,这一隐患是由于设计的缺陷引起,当输入文本时,一个脚本可以取消特定的按键事件。这一设计缺陷可能会被利用,通过切换焦点并取消特定字符的“OnKeyPress”事件,黑客可以欺骗用户在上传文本框中输入文件名。这样就会令到用户机器上的一任意文件上传到恶意网站。然而,用户必须先输入某个文件名包含的字符。直道目前为止,还没有关于这一漏洞被利用的报告。
安全研究人员表示,已经正式这个隐患存在于Firefox,Mozilla,Netscape和IE中,而Opera似乎不受影响。
Secunia表示,关注这个问题的人,可以通过禁止对JavaScript的支持或者不要在不信任网站输入信息来避免感染。
|