资料下载

IE,Firefox Sport新的零日缺陷

由管理员撰写。发表于 软件新闻

1 1 1 1 1 评分0.00(0票)
压住他
杰克写道: 多个安全组织周二警告说,Windows,Linux和Mac上的Internet Explorer,Firefox,Mozilla和SeaMonkey容易受到JavaScript错误的攻击,该漏洞可能使坚定的攻击者欺骗用户,使他们放弃敏感的个人信息,例如信用卡或银行帐号和密码。

多个安全组织周二警告说,Windows,Linux和Mac上的Internet Explorer,Firefox,Mozilla和SeaMonkey容易受到JavaScript错误的攻击,该漏洞可能使坚定的攻击者欺骗用户,使他们放弃敏感的个人信息,例如信用卡或银行帐号和密码。

据赛门铁克公司称,该公司周二下午晚些时候发出警报,可以使用所有版本的Microsoft和Mozilla浏览器通过JavaScript密钥过滤漏洞来收集数据。

赛门铁克警告说:“通过利用JavaScript'OnKeyDown'事件捕获并复制用户的击键,触发了此问题。”

该错误使狡猾的罪犯可以过滤输入到同一网页上不可见的文件上载对话框中的击键,该击键是用表格形式输入的,例如用于支付在线商品的信用卡形式。一旦信息被困在隐藏的对话框中(漏洞发现程序使用了从合法(或至少看起来合法的形式)“弹跳”到隐身的击键的类比),数据就可以发送给攻击者。

“利用此问题需要用户手动键入攻击者希望下载的文件的完整路径……[并且]可能需要来自目标用户的大量键入,因此攻击者很可能会利用基于键盘的游戏,博客或其他类似页面诱使用户输入所需的键盘输入来利用此问题,”赛门铁克继续说道。

丹麦漏洞追踪器Secunia周二还发布了该错误的警告,并将其评为“不太重要”,这是其五步评分系统中排名第二的自底向上。

该错误之所以罕见,是因为它不仅会影响Internet Explorer(包括功能完善的IE 6.0甚至IE 7 Beta 2),而且还会影响Firefox(尽管最新版本为1.5.0.4),Mozilla套件以及单独的-开发了Mozilla SeaMonkey的继任者。赛门铁克表示,由于其跨平台的影响,它也与众不同:运行Windows,Linux和Mac OS X的那些浏览器的用户容易受到攻击。

周一首先在Full Disclosure安全邮件列表上发布了有关该错误的信息的Charles McAuley,还发布了概念验证代码来演示漏洞的工作方式。

赛门铁克建议用户避免使用陌生的Web邻居和/或禁用受影响的浏览器的脚本或活动内容功能。

资源: 点击这里


压住他

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网 安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网 客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置