【賽迪網(wǎng)訊】3月15日消息，一位安全研究員周三報告稱，微軟IE瀏覽器上存在的一個漏洞有可能輕易讓用戶掉入網(wǎng)絡(luò)詐騙陷阱。

據(jù)IDG新聞社報道，據(jù)以色列安全研究員Aviv Raff稱，該漏洞存在于IE7處理存儲于本地的HTML出錯信息頁面的方式上。通常情況下，當(dāng)用戶取消登陸一個網(wǎng)頁時，該出錯信息就會出現(xiàn)。

出錯信息告訴用戶，“與該網(wǎng)頁的連接已被取消”，同時它還會提供一個“刷新頁面”的機會。如果點擊了刷新連接，IE可以會受到欺騙，顯示一個錯誤的網(wǎng)頁地址。Raff公布的概念性代碼展示了IE如何被利用來顯示他的網(wǎng)站上的一個頁面，而該頁面看上去會讓人誤以為來自cnn.com。

Raff說，這個漏洞可能會被那些試圖讓自己的欺騙性網(wǎng)站看上去更合法的網(wǎng)絡(luò)釣魚者所利用。

“我可以在該頁面上注入一個腳本，當(dāng)用戶點擊‘刷新’時，它可以顯示我想要的任何內(nèi)容。”他說。“將這個與設(shè)計漏洞相結(jié)合，瀏覽器的地址欄就可以顯示出攻擊者想要的任何URL，并顯示出他想要的任何結(jié)果。”

這種類型的缺陷通常被稱為跨網(wǎng)站腳本漏洞。Raff 說，它影響到Vista和XP上運行的IE 7。

微軟沒有立即證實Raff的這個發(fā)現(xiàn)，但該公司發(fā)布了一個聲明稱，微軟正在對這個問題進行調(diào)查，目前尚未發(fā)現(xiàn)有相關(guān)攻擊事件發(fā)生。