IE7再现钓鱼欺诈安全缺陷 Vista也难避免

和bho钓鱼相互应

以色列安全研究人员Aviv Raff称，微软IE7中存在一个缺陷，可以让钓鱼欺诈网站伪装成正常网站，诱导用户上当受骗。

　　Aviv Raff指出，问题出现在IE7处理本地HTML错误信息页面的过程中，比如如果用户临时取消网页的载入，就会出现那个熟悉的“已取消到该网页的导航”页面，并提供“刷新该网页”的链接，而一旦用户点击这一链接，就可能陷入虚假网页的欺骗。

　　Raff已经发布了概念验证型代码，演示IE7如何被骗显示了他的网站，而看起来却像是在显示cnn.com。他说，我可以插入一段Script代码，让IE7在刷新时显示任何我想要的页面，包括钓鱼欺诈内容。

　　Raff指出，这是IE里常见的跨网站脚本缺陷，Windows XP和Windows Vista下都无法幸免。IE7此前暴露的几个漏洞也属于此类。

　　微软已经开始就此展开调查。虽然尚未发现任何实际攻击，但在微软发布补丁前，最好不要轻信IE的错误页面。