IE 最可怕是它的漏洞,不停止的出现,狼又来了....
连认可的保安协同中心也鼓励用「其他的浏览器/电邮客户端程式」,真是无话可说耶。
------------------------------------------------------------------------
微软 Internet Explorer 不正确地显示网址
http://www.hkcert.org/salert/c...4_win_ie.html内容
这漏洞引致 Internet Explorer 内的网址列不能如实地显示网页的原来网址。
Internet Explorer 是一个被广泛应用的网页浏览器。正常地,浏览中网页的网址会显示在浏览器上网址列上,但对于某些不能被列印的字元, Internet Explorer 不能适当地显示网址。 IE 可能会连结至一个与网址列上显示的文字的不同网址。
HTTP 的 URL 格式如下所示
<userinfo>@<host>:<port> (即 <使用者资讯>@<主机>:<连接埠>)
因为 Internet Explorer 程式码显示网址列内容时,不能适当地处理NULL 及其他不可列印的字元,当IE 在@标志之前遇到一个空或相似的不可被列印字元,浏览器袛会显示 <userinfo>数据,但郤由部份 <host>:<port>网址指定正确位址的取存。
这漏洞并不需要启动任何动态脚本程式来协助攻击。这个漏洞的攻击方法和证实概念可行的资料和示范例子已被公开。
影响
* 这漏洞会影响视窗平台下已安装所有修补程式的Internet Explorer 版本 5.5 及 版本 6 及 Macintosh 平台下的 Internet Explorer版本 5.0。 那些使用了 Internet Explorer 组件的程式(例如 Outlook Express)来编译网页内容亦会受这个漏洞影响。
* 这漏洞能够伪装成虚假的网上银行、电子付款及线上软件更新进行欺骗。因此,面对使用安全锁的网址是否如预期显示的网址时,便需要加倍提高警觉性。为了确认网址的真伪,用户必需仔细检查核证证书的详细资料及确保这些资料与显示的网址是吻合的。
受影响之系统
* 微软 Internet Explorer
* 微软 Outlook Express
* 微软 Outlook
解决方案
现时,微软尚未发布这个漏洞的相关修补程式。
临时/纾缓的方案
(1) 不要直接使用在电邮内或未经确认的网站上的超连结,改为手动将网址输入在浏览器上执行
此外,以下资料亦有助你识别并避免受到欺诈网站和恶意超连结的伤害,详细可参阅
http://support.microso...d=833786(2) 在需要输入使用者名称及密码的网页上,请必须确认网页有使用 SSL 的安全保护,在浏览使用了安全保护的网页时,浏览器的右下会显示一个锁的图形 ,只要将滑鼠双按这个锁的图形就会出现凭证.请确认凭证上的网址须和你登入的网址配合。详细可参阅
http://www.microsoft.com/sec...nt/spoof.asp(3) 你亦可以考虑使用其他的浏览器/电邮客户端程式 (例如:Netscape 4.79, Netscape 7.1, Mozilla Firebird 0.7, Mozilla 1.5, Opera 7.23)
相关连结
*
http://www.auscert.org.au...ml?it=3680*
http://support.microso...d=833786*
http://www.auscer...u/2909 
