IE浏览器存在严重钓鱼漏洞 所有版本均未能幸

　　12月18日消息，丹麦著名安全公司Secunia日前表示，他们在微软IE浏览器中发现了一个普遍性的安全漏洞。该漏洞影响到包括Windows XP SP2在内的所有版本的IE浏览器。

　　目前，该漏洞已经被Secunia公司研究员Paul在通知微软之前公之与众。Secunia表示，该漏洞是由于“DHTML Edit ActiveX控件”中所存在的一个“跨站点脚本漏洞（cross-site scriptin
g）”所致。由于该漏洞存在于浏览器内部，因此可以被用来攻击任何网站。

　　Secunia首席技术官Thomas Kristensen表示：“这是一个相当严重的漏洞。当跨站点浏览网站时，用户不会发现任何异常，URL和SSL均显示为合法。”

　　Kristensen说：“黑客可以通过恶意站点来控制地址框中所显示的URL链接，因此用户根本无法察觉是否遭到攻击。这也正是入侵者所要达到的效果。”

　　Kristensen指出：“该漏洞到最可能导致的就是‘钓鱼式’网页欺骗，用户只要点击黑客所提供的链接，那么浏览器就会自动打开。而且，用户只能短暂地看到恶意站点的URL链接，此后显示的便是虚假的合法站点链接。”

　　目前，微软公司发言人尚未对此发表任何评论。对于这种发现问题而不事先通知微软的行为，微软向来是持反对意见的。Kristensen对此表示道，他也不清楚Paul为什么选择了在通知微软之前发布该漏洞消息。

　　对于该漏洞，Secunia将其视为“中度危险”，因为黑客无法通过该漏洞控制用户的计算机系统。

ActiveX 这东西真的是毒王呀.......