微軟正在調(diào)查IE的一個新安全漏洞。即使你的Windows系統(tǒng)已進(jìn)行最新安全更新，也會難逃釣魚攻擊。

星期五，軟件巨人表示會對一份來自Secunia等幾家安全公司的報(bào)告展開調(diào)查。這份報(bào)告說道：一個IE6漏洞允許欺詐分子實(shí)施釣魚攻擊。受影響的系統(tǒng)包括已安裝上最新服務(wù)包XP2的Windows XP以及所有舊版操作系統(tǒng)。究竟什么是釣魚攻擊呢？典型的釣魚攻擊會利用看似等合法公司的虛假網(wǎng)站竊取用戶號碼等私人信息。

安全公司顧問透露，這個瀏覽器漏洞允許欺詐分創(chuàng)建一個難于發(fā)覺的欺騙網(wǎng)站，就是連SSL數(shù)字認(rèn)證也能假冒。另外，釣魚攻擊者還能竊取任意網(wǎng)站的cookie。

安全公司高級技術(shù)官員Thomas Kristensen表示，問題是用戶不會再信任在瀏覽器看到的內(nèi)容。這個漏洞能引誘用戶在自認(rèn)為是可靠的網(wǎng)站上執(zhí)行一系列操作，而這些操作都會被另一個惡意網(wǎng)站記錄和控制。

雖然這個漏洞會對IE用戶構(gòu)成潛在威脅，但是Secunia仍然把這個漏洞標(biāo)記為"中等危急"級別，因?yàn)樗荒茉L問計(jì)算機(jī)網(wǎng)絡(luò)。

報(bào)告上指出，這個漏洞是由于IE6的DHTML Edit ActiveX控件在某種情形下執(zhí)行"execScript" 發(fā)生異常造成的，瀏覽器因而能夠執(zhí)行任意腳本代碼。攻擊者可以通過發(fā)送一封含有虛假網(wǎng)站鏈接的郵件實(shí)施釣魚攻擊。而用戶在點(diǎn)擊虛假網(wǎng)站鏈接前，惡意網(wǎng)站的URL會簡要顯示出來。

Kristensen說道，問題是ActiveX控件處理輸入信息時(shí)，在返回到瀏覽器之前沒有進(jìn)行合法性檢查。這樣，惡意代碼就有機(jī)會控制瀏覽器顯示的內(nèi)容，使到瀏覽器錯誤認(rèn)為登陸了一個可靠的網(wǎng)站。

Secunia在網(wǎng)站上公布了一個漏洞演示樣本，并建議用戶在補(bǔ)丁發(fā)布前，禁止瀏覽器支持ActiveX。