|
|
| IE中发现允许“冒充”Web服务器的漏洞 |
|
|
|
作者:未知 来源:未知 加入时间:2004-12-1 |
微软于5月17日公布了Internet Explorer(IE)的两种新安全漏洞。它们分别是:(1)不能正确地检查数字证书;2)将正在访问的站点以另外一个URL显示-这两种安全漏洞。
如果有人恶意使用这两种安全漏洞的话,将有可能使用户尽管是在访问其它的站点,但看起来却象是访问自己信赖的站点一样。也就是说,可以“冒充Web站点”。但是微软表示,从恶意使用的条件等来看,实际上恶意使用是有困难的。
存在这两种安全漏洞的是IE 5.01和5.5。在此之前的版本是否受此影响尚不清楚。在微软(日本)的网页上显示“日语版IE正在准备当中”(截止至5月18日15时),但是在美国微软的下载站点上已经准备了日语版IE。
可以绕过数字证书的检查
在进行SSL通信时,当浏览器从服务器接收到数字证书时,IE将进行,1)是否过了有效期限;2)正在访问的服务器和证书记载的服务器是否一致;3)是否是从用户可以信赖的认证局发出--等防止冒充的检查作业。但是如果有人使用了本次发现的安全漏洞的话,就可以绕过证书检查。其结果是即使使用不正当的数字证书也可以进行SSL通信。
当然,可以绕过检查的情况是有限制的。首先,在IE的“因特网选项”的“详细设定”中,仅限于选择了“确认取消服务器证书”时才会发生。在默认状态下则不会执行该项目。而且是否可以绕过检查同此前访问了哪些站点,检查了怎样的数字证书有关系。因此,在完全相同的设置下有时也会完全不受影响。
另外,本次发现的安全漏洞只对“服务器证书”的确认有影响,而对于确认代码签名证书等则没有影响。因此,不会给此前公开过的“以微软名义发行假冒数字证书的问题”带来影响。
而且,即使有人恶意使用此安全漏洞,也无法将用户诱导至攻击者的站点上。攻击者要想冒充已有的站点,必须采用改写DNS信息等其它方法。因此实际上要想恶意使用也很困难。
显示和实际不同的URL
如果有人恶意使用另一个安全漏洞,将会在IE的地址栏内显示同用户实际访问站点不同的URL。比如可以使用户尽管实际上在访问攻击者的站点,而在用户的地址栏内显示的却是用户信得过的站点(比如说网上银行等)的URL。
另外,据美国微软公开的信息,甚至可以利用该安全漏洞冒充正当的SSL通话。在地址栏内显示的URL为https://xxxxx/的情况下,可以使浏览器显示出用来表示已经确立SSL通话的“钥匙图形”,如果点击该“钥匙图形”将会显示被冒充的站点的合法数字证书。
但是在这种情况下,要将用户诱导至冒充的站点还需要使用其它的手段,因此在实际运用上有困难。另外,它只能冒充第一页,不能冒充页内的链接。如果点击冒充的链接站点内的网页,在浏览器下面将显示出“真正的”URL,因此用户可以觉察到有人冒充。
除以上两个安全漏洞之外,微软同时公开了已经公布过的被称作“‘主机域名对照’的脆弱性”的安全漏洞的“变种”。它是一种怀有恶意的Web管理者可以读取访问Web站点的用户机器内文件的安全漏洞。但是,能够读取的只是在浏览器打开而且是仅限于“.htm”、“.txt”及“.doc”等的文件,另外还必须指定正确的文件名及地址。
只要使用此次发布的补丁程序,用户就不仅可以防止上述的安全漏洞,而且可以堵住已经公布了的“IE可以任意打开电子邮件的附件”此类严重的安全漏洞。(IT Pro)(出处:新浪网 ) 
|
|
相关文章:
相关软件: |
|
| 网络工具 | 系统工具
| 应用软件 | 多媒体类
| 联络聊天 | 行业软件
| 图形图像 | 安全相关
| 编程开发 |
教育教学 |
游戏娱乐 |
本类阅读TOP10