2004年12月IE 6.0中就出现过视窗注射（window injection）漏洞，现在该漏洞仍存在于IE 6.0中，当时微软建议使用者关闭「跨网域浏览子架构」的功能，不过并未提供修补程式。



丹麦的资安业者Secunia于周一（10/30）再度警告微软最新浏览器IE 7.0藏有安全漏洞，这是Secunia自IE 7.0在两周前发表以来所揭露的第三个IE 7.0漏洞。

Secunia技术长Thomas Kristensen指出，当使用者先造访一个由骇客建置的网站，之后再连到一个像是银行或电子商务等拥有弹出式视窗（pop-up）的可信任的网站，骇客可以在该弹出视窗放置任意内容，例如询问使用者财务资讯或帐号等。

被称为视窗注射（window injection）的这个IE漏洞，问题在于一个网站可以在其他网站上加注内容。Secunia说，2004年12月IE 6.0中就出现过这个漏洞，现在该漏洞仍存在于IE 6.0中，当时微软建议使用者关闭「跨网域浏览子架构」（Navigate sub-frames across different domains）的功能，不过并未提供修补程式。

当视窗注射漏洞第一次在IE 6.0中现身时，Secunia也建议使用者不要在浏览可信任网站时同时开启不信任的网站。

Thomas Kristensen说，虽然微软在IE 7.0的预设值是关闭跨网域浏览子架构功能，但仍无法避免骇客的攻击。Secunia将此漏洞列为中度危险（moderately critical）等级，并说尚未接获有任何网站尝试利用此漏洞的报告。

微软发言人表示，微软并不认为这是一个安全漏洞。他说明Secunia所描述的现象是IE允许一个网站开启或重新利用一个弹出式视窗，但在IE 7.0中，弹出式视窗的网址是可见的，这可让使用者正确地进行判断。

Thomas Kristensen则批评，这让使用者必须费心检视网址列是否可信。

Secunia自IE 7.0发表以来已揭露该最新浏览器的三个漏洞，第一个漏洞被称为「跨网域资讯揭露漏洞」（cross-domain information-disclosure），不过微软旋即声称该漏洞是存在于Outlook Express中，与IE无关，第二个漏洞也与跳出式视窗有关，当时微软说明，该问题是隐藏在网站位址于IE 7.0网址列中显示的方法，这使得骇客能够诱导使用者点选一个特定格式的连结。这两个漏洞皆被Secunia列为较不严重等级，微软则考虑针对Secunia公布的第二个漏洞发表修补程式。（编译/陈晓莉）

来源：http://www.ithome.com.tw/it...php?c=40215