可被跨站点攻击 微软IE再现漏洞

    作者：BlackWing

　　安全研究人员再度在IE中发现两新漏洞。虽然针对这两个漏洞的概念验证代码已经出现，但是还没收到利用这两个漏洞进行攻击的报告。

　　第一个漏洞是关于跨站点脚本问题。攻击者可以通过一个新浏览器窗口来查看正在浏览某个恶意网站的浏览器窗口中的信息。然而，研究人员认为这个问题并没有其它漏洞那么严重，因为它需要用户进行交互并且需要其它浏览器中的敏感数据。

　　微软安全研究中心的Adrian Stone证实，微软正研究这个问题。并表示，目前还没发现有用户受到攻击。

　　人们曾经认为这个漏洞也会影响到Mozilla的的Firefox，但经过SANS深入研究后表示Firefox并不受影响。此外，他们还表示IE 7也不受这漏洞影响。

　　第二个漏洞比较严重。它由HTA应用程序被处理的方式引起。用户可能会被引诱来打开某个恶意文件，一旦打开文件就会导致代码的执行。要成功利用这一漏洞，需要通过SMB或WebDAV进行访问。

　　微软表示，它目前也在调查这个HTA漏洞。