2004年12月IE 6.0中就出現過視窗注射（window injection）漏洞，現在該漏洞仍存在於IE 6.0中，當時微軟建議使用者關閉「跨網域瀏覽子架構」的功能，不過並未提供修補程式。



丹麥的資安業者Secunia於周一（10/30）再度警告微軟最新瀏覽器IE 7.0藏有安全漏洞，這是Secunia自IE 7.0在兩周前發表以來所揭露的第三個IE 7.0漏洞。

Secunia技術長Thomas Kristensen指出，當使用者先造訪一個由駭客建置的網站，之後再連到一個像是銀行或電子商務等擁有彈出式視窗（pop-up）的可信任的網站，駭客可以在該彈出視窗放置任意內容，例如詢問使用者財務資訊或帳號等。

被稱為視窗注射（window injection）的這個IE漏洞，問題在於一個網站可以在其他網站上加註內容。Secunia說，2004年12月IE 6.0中就出現過這個漏洞，現在該漏洞仍存在於IE 6.0中，當時微軟建議使用者關閉「跨網域瀏覽子架構」（Navigate sub-frames across different domains）的功能，不過並未提供修補程式。

當視窗注射漏洞第一次在IE 6.0中現身時，Secunia也建議使用者不要在瀏覽可信任網站時同時開啟不信任的網站。

Thomas Kristensen說，雖然微軟在IE 7.0的預設值是關閉跨網域瀏覽子架構功能，但仍無法避免駭客的攻擊。Secunia將此漏洞列為中度危險（moderately critical）等級，並說尚未接獲有任何網站嘗試利用此漏洞的報告。

微軟發言人表示，微軟並不認為這是一個安全漏洞。他說明Secunia所描述的現象是IE允許一個網站開啟或重新利用一個彈出式視窗，但在IE 7.0中，彈出式視窗的網址是可見的，這可讓使用者正確地進行判斷。

Thomas Kristensen則批評，這讓使用者必須費心檢視網址列是否可信。

Secunia自IE 7.0發表以來已揭露該最新瀏覽器的三個漏洞，第一個漏洞被稱為「跨網域資訊揭露漏洞」（cross-domain information-disclosure），不過微軟旋即聲稱該漏洞是存在於Outlook Express中，與IE無關，第二個漏洞也與跳出式視窗有關，當時微軟說明，該問題是隱藏在網站位址於IE 7.0網址列中顯示的方法，這使得駭客能夠誘導使用者點選一個特定格式的連結。這兩個漏洞皆被Secunia列為較不嚴重等級，微軟則考慮針對Secunia公布的第二個漏洞發表修補程式。（編譯/陳曉莉）

來源：http://www.ithome.com.tw/it...php?c=40215