|
||||
中國網·濱海高新訊5月26日消息,據路透社報道,一電腦安全研究者近日在微軟Internet Exploror發現了安全漏洞,黑客可能會利用Cookie獲得用戶Facebook、Twitter等網站賬戶。
他將其原理命名爲“cookiejacking”。“任何網站,任何cookie,受限的只有人們的想象。”這名意大利獨立的網絡安全研究者,羅薩里.瓦洛塔(Rosario Valotta)表示。
據悉,瓦洛塔在一封電子郵件中解釋道,黑客可以通過此漏洞得到存儲在瀏覽器文件中的“cookie”,其中就包含了某網站賬戶的用戶名和密碼。一旦黑客得到這個cookie,就能得到這個網站的用戶賬戶。這個漏洞在所有版本的IE,包括IE9中均存在。
要利用這個漏洞,在攔截cookie之前,黑客必須說服受害者在電腦屏幕上拖拽某物。而根據瓦洛塔所說,黑客能輕易實現這一任務。爲了實驗,他在Facebook上建立了一個謎題,需要用戶爲一名照片上美女將衣服拖拽下來。
“我在Facebook上將這個遊戲上線僅不到3天,就有多於80個cookie被髮送到我的服務器上,而我的好友只有150人。”瓦洛塔說。
而微軟則表示,黑客只有較小可能在實際上成功進行cookiejacking。“對於需要進行的和用戶的互動,我們並不認爲存在較大風險。”微軟發言人傑瑞.布蘭特(Jerry Bryant)表示。他還說:“用戶需要訪問一個惡意網站,點擊並拖拽屏幕上的某物,黑客才能獲得此網站用戶已經登陸的賬戶信息。”