IE7地址显示缺陷 黑客借此隐藏其攻击意图

　　据外电报道，本周三，安全厂商Secunia 表示，IE 7允许一个网站显示包含有虚假Web 地址的弹出式窗口。Secunia 在一份安全公告中表示，黑客可以利用这一缺陷诱骗人们相信他们在访问一个可靠的网站，而实际上他们在访问一个恶意网页。微软公司此次推出的IE 7浏览器，声称对以前的版本进行了彻头彻尾的修改，尤其是在用户界面和系统安全上，它的一个卖点就是打击钓鱼式欺诈攻击。

　　Secunia 开发了一个演示攻击，在弹出式窗口的地址栏中显示的是微软的Web 地址，但显示的却是来自Secunia 的内容。

　　微软的一名代表在一份电子邮件声明中说，问题在于IE 7地址栏显示Web 地址的方式。这名代表表示，黑客可以通过诱骗用户点击一个特殊格式的链接来利用这一缺陷。

　　微软表示，弹出式窗口不显示完整的Web 地址。它说，在浏览器窗口内或地址栏上点击鼠标，或滚动窗口，就会显示完整的URL。

　　如果一个网站被认为是钓鱼式欺诈攻击的一部分，攻击的阴谋就不会得逞。IE 7的反钓鱼技术会识别出这样的站点，并向用户报警。微软称，它没有接到利用该缺陷发动攻击的报告。

　　IE 7是5 年来微软首次对IE进行重大升级，而安全是它的第一号任务。打击钓鱼式欺诈攻击一直是微软的一个重点。

　　这一缺陷被Secunia 认为“不太危急”，但却是IE 7中被公开披露的第一个缺陷。微软表示，它已经在调查这一问题，可能会发布补丁软件修正该缺陷。