|
【日经BP社报道】美国微软日前表示将提供变更Internet Explorer(IE)规格的补丁。此举的目的是对付可能导致伪装URL的安全漏洞。这是微软于美国当地时间1月27日宣布的。安装补丁后,将不支持“http://[用户名称]:[密码]@[服务器名].[域名]/[文件名]”格式的URL。具体提供日期尚未确定。 2003年12月上旬在IE中发现了能够伪装“地址栏”、“状态栏”及“属性”中显示的URL的安全漏洞。如果突破这一安全漏洞,就可以用怀有恶意的Web页冒充可靠的企业和组织的Web页。 虽然该安全漏洞的危险性已经引起人们的高度关注,但微软一直公布补丁程序。估计此次公布补丁的目的就是避免这一安全漏洞被突破并形成攻击。 如果安装即将发布的补丁,那么在输入“http://[用户名]:[密码]@[服务器名].[域名]/[文件名]”格式的URL时,会提示“Invalid syntax error”。 这样,就可以避免用户被类似“http://itpro.nikkeibp.co.jp:CGI=@192.168.0.1”的不易识别的URL引诱至怀有恶意的站点上。另外,还可以防止组合这一格式与IE安全漏洞(URL中含有“%01”等文字时,无法正确检测其URL的安全漏洞)进行的冒充。 但是,在此次发表的信息中并没有明确提及IE的安全漏洞,只是提醒说“... malicious users can use this URL syntax together with other methods to create a link to a deceptive (spoofed) Web site ...”(怀有恶意的用户可能会在编写伪装站点的链接时结合其它方法使用这一URL格式)。 目前尚不清楚计划公布的补丁程序能否解决无法正确检测包含特定字符串的URL的安全漏洞。(记者:胜村 幸博)
|
