微软公司IE 5.5和IE6都有安全漏洞,恶意黑客可以利用暴露的Cookie数据进行破坏,现在微软公司已发布此漏洞补丁。
IE漏洞的危害性是上星期一个芬兰的安全公司Online Solutions公司首先向大家公布的,在11月1日它就提醒微软注意此漏洞的危害和具体内容。
于是微软建议用户不要启动IE中的Active Scripts,以防他们的cookie数据被别人窃取,但是停用active scripts造成一些网络站点不可访问。
漏洞的危险主要是一些恶意黑客可以在一个网页中写入大量的错误URL。这种行为可以导致黑客看见用户硬盘上的其他站点留下的cookies。安全操作不允许敏感的信息储存在这些cookies当中,可一些网络站点却把信用卡和其它个人信息放在cookies中。
在HTML 电子邮件中的错误的网址也可能暴露cookie数据。
这次补丁堵住了从一个网络站点获取其他网络站点信息的后门。根据其公告说,补丁也修正了以前没有公布的3个问题。
公告中提示说"首先前两个问题是IE如何通过域处理cookies,虽然内在的缺陷互不相干,但其机理是一样的,恶意的用户都非法获取用户的cookies,还可能修改包含其中数据。
公告还说:"第 3 个问题不同与微软安全公告 MS01-051中的危害,影响IE如何处理包括IP 地址URLs。IE把它认为是一个内部网址,并且在内部网上打开网页而不是利用正确的网址。这样的网址很少有安全限制,此危险对IE 6无影响 。"
