微软宁死不招，否认IE安全漏洞

    【IT168 软件新闻】有安全研究人员发现IE中存在地址欺骗（spoofing）问题，微软拒绝承认这是IE的安全漏洞。并肯定IE6中容易出现spoofing问题，但微软并不认为这是安全缺陷。Spoofing是一种网址欺骗方法，使人们误以为正在浏览的网站是他们所选取的，但实际上那只是个虚假的网址。地址欺骗常被用在“钓鱼式欺诈（phishing scams）”中，即：通过伪装成来自合法组织的email，试图盗取个人资讯的行为。

    在一封e－mail声明中，微软声称：“微软获悉在上周一份安全报告中提及，IE状态栏会显示虚假的URL地址。当鼠标在网页内的地址连接上移动时，用户在IE的状态栏会看到一个URL地址，但点击这个连接却去了另外一个地址。经我们调查，这个现象不属于“安全漏洞。”

    德国的一位研究人员Benjamin Tobias Franz上周在BBS Bugtraq上发出警告说，如果罪犯在HTML的href标记间，插入两个URL和一个Tab符号，则IE就会出现伪装的地址连接，即spoof。

    Franz断言，这个现象导致的结果就是，错误的URL连接会在用户不知情时，把他们诱导去完全不同的网址。

    但微软认为这个现象需要伴随着大量的社会工程实践，受害人才会上当受骗。

    微软在声明中认为：“攻击者需要欺骗用户去访问某个网址，然后再诱使用户根据IE状态栏出现的URL地址去点击一个连接。一旦到了那个虚假的网址，攻击者还必须再引诱用户作出一连串的动作，比如公开机密的财经信息，而这一切还必须不能让用户发现他/她所浏览的网页和URL所显示的不一致。”

    微软告诫用户在跳转到另一个地址前，检查一下浏览器地址栏出现的URL连接是否就是自己希望去的地址。Franz和微软都认为Windows XP SP2不受这个问题的影响。

    微软补充说将会对此问题进行评估，以便对此类情况进行代码上的部分修改。

    在Bugtraq上， Franz指出HTML格式的e－mail存在这个漏洞，所以微软的Outlook Express也受这个问题的影响。Franz建议人们应该在连接上按鼠标右键以检查其真实地址。

    安全公司NetCraft透露，Mozilla Firefox的用户不受这个问题的干扰。

    更多精彩文章尽在IT168软件频道！