研究人員發現 IE 9 cookies 漏洞、微軟稱這是低風險漏洞
相信大家都知道,我們在瀏覽器之內的 cookies 檔案儲存了所有我們在網絡上的登入資訊,因此一旦該檔案被黑客盜取的話,用戶在互聯網上的帳戶便會很危險。
今天根據外電報導,指出有研究人員在 Swiss Cyber Storm 與 Hack in the Box 資訊安全會議上示範了這個最新的漏洞,並指所有平台上的 IE 都存在有關漏洞。
根據該名研究人員的示範,我們只需使用 Cookiejacking 手法,便可以輕易的取得 IE 的 cookies 檔案。他先以 iframe 來設定為 cookie 檔案,然後讓 iframe 載入用戶的 cookies。不過由於 cookies 是以用戶名稱進行分類的關係,黑客在成功進行入侵前必須要先估計到用戶的 系統名稱,而在大會上,該研究人員亦成功輕易的取得用戶的 cookies 檔案。
除此之外,該研究人員亦成功透過 Facebook 遊戲,以互動的方式依靠用戶在熒幕上拖拉不同的物件從而盜取用戶的 cookies,根據路透社報導指 Valotta 在 Facebook 上的裸女拼圖遊戲,3天內便取得超過80個cookies 資料,情況令人擔憂。
不過微軟的發言人 Jerry Bryant 便指,這漏洞風險非常低,因為他需要用戶的互動,而且黑客亦需要估計到用戶系統名稱才能夠取得 cookies。