|
||||
中国网·滨海高新讯5月26日消息,据路透社报道,一电脑安全研究者近日在微软Internet Exploror发现了安全漏洞,黑客可能会利用Cookie获得用户Facebook、Twitter等网站账户。
他将其原理命名为“cookiejacking”。“任何网站,任何cookie,受限的只有人们的想象。”这名意大利独立的网络安全研究者,罗萨里.瓦洛塔(Rosario Valotta)表示。
据悉,瓦洛塔在一封电子邮件中解释道,黑客可以通过此漏洞得到存储在浏览器文件中的“cookie”,其中就包含了某网站账户的用户名和密码。一旦黑客得到这个cookie,就能得到这个网站的用户账户。这个漏洞在所有版本的IE,包括IE9中均存在。
要利用这个漏洞,在拦截cookie之前,黑客必须说服受害者在电脑屏幕上拖拽某物。而根据瓦洛塔所说,黑客能轻易实现这一任务。为了实验,他在Facebook上建立了一个谜题,需要用户为一名照片上美女将衣服拖拽下来。
“我在Facebook上将这个游戏上线仅不到3天,就有多于80个cookie被发送到我的服务器上,而我的好友只有150人。”瓦洛塔说。
而微软则表示,黑客只有较小可能在实际上成功进行cookiejacking。“对于需要进行的和用户的互动,我们并不认为存在较大风险。”微软发言人杰瑞.布兰特(Jerry Bryant)表示。他还说:“用户需要访问一个恶意网站,点击并拖拽屏幕上的某物,黑客才能获得此网站用户已经登陆的账户信息。”