IE浏览器惊现欺骗技术 微软称并非安全缺陷

    微软公司正在反驳安全研究人员的一种观点：即在IE中发现的一种欺骗技术是一个安全缺陷。

    微软公司承认了黑客利用IE 6进行欺骗活动的可能性，但却对这是一个安全缺陷的说法进行了反驳。“欺骗”指的是，当用户在访问一个 “欺骗性”网站时，使用用户误认为是在访问他们期望网站的方式。“欺骗”技术主要被用在“钓鱼式”骗局中。

    微软公司在一份电子邮件声明中说，微软公司已经知道了上周报告的使用户在IE地址栏中看到欺骗性URL 的安全问题。当鼠标经过网站上的链接时，IE的地址栏中会显示一个URL ，但点击该URL 时，用户会被带到不同的网站。我们的调查表明，这不是一个安全缺陷。

    德国的安全研究人员弗兰兹在上周发布在Bugtraq 上的一则警告中指出，如果黑客在一个HTML href 标签中放置二个URL 和一个表格，IE 浏览器就会显示“欺骗性”的链接。他说，这种畸形的链接会在用户毫不知情的情况下带到一个完全不同的网站。

    但微软公司指出，黑客必须利用大量的社会工程技术，才能够使用户受到攻击。微软公司的声明指出，黑客首先必须诱惑用户访问一个网站，并根据IE浏览器地址栏显示的URL 点击链接。一旦到了目标网站，黑客还需要诱惑用户采取一些行动，例如披露他们机密的财务资料。

    微软公司建议用户，在访问一个网站前，检查IE地址栏中的URL 是否是他期望访问的网站。弗兰兹和微软都认为，Windows XP SP2不会受到这一问题的影响。微软公司表示，它正在评估未来对以前版本的Windows 进行相似变化的可行性。

    弗兰兹在Bugtraq 上的警告中表示，HTML电子邮件容易受到这种技术的攻击，Outlook Express 也会受到该缺陷的影响。他指出，用户应当右击链接，以检查其真正的“目的地”。

    据安全厂商Netcraft公司称，利用Firefox 浏览器的人不会受到这一问题的影响。