加利福尼亚州的一家安全公司在星期一发出警告,声称微软公司的IE浏览器中存在一个未修复的漏洞,黑客们可能会利用那个漏洞劫持用户电脑然后访问用户的谷歌Gmail帐户。
圣克拉拉市的Cenzic公司在星期一发布的安全警报中称,IE浏览器中包含一个未明确指出的高速缓存文件漏洞,当它与基于网络的Gmail电子邮件服务中的某个跨站虚假指令漏洞结合在一起之后,就会将用户Gmail帐户的登录信息暴露出去,其他人就可以利用登录信息进入那些电子邮件帐户并获得其中的信息和附件文件。
Cenzic在安全警报中指出,虽然这并非那种可远程利用的漏洞,即攻击者必须在本地登录电脑,但是这对于攻击者来说并非什么难事。Cenzic说:“这些漏洞可能会被利用,因此如图书馆或者网吧中的那些公用电脑的所有用户都可能受到侵害。”
当利用“查看源文件”命令来检视电子邮件的附件时,其网址是会显示出来的,因此Gmail对于这种漏洞的存在也有一定责任,然而最主要的原因还是IE浏览器不正确地利用了高速缓存指令和对高速缓存IE文件的不正确的访问检查。”
总之,利用这个漏洞就可以在一台公共电脑上窃取他人的Gmail帐户登录信息。只有在新文件被添加而且最旧的文件被删除或者用户利用指令来删除浏览器的高速缓存之后,IE浏览器才会删除高速缓存中的内容。
