• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:607

1.研究人員發現利用IE瀏覽器location物件上的漏洞，可讓駭客欺騙location物件，從而取得使用者輸入的URL或查詢的關鍵字，曝露上網行踨等個人隱私。

安全研究人員Manuel Caballero揭露微軟的Internet Explorer (IE)瀏覽器出現漏洞，它出現在IE的location物件中，這個物件讓人存取瀏覽器頁面的URL資訊。攻擊需要駭入某個網站在其中埋入一段HTML物件標籤，或是透過廣告軟體載入特定HTML或JavaScript程式碼。其次網頁還要加入compatibility metatag，這可以讓網站管理員（或攻擊者）選擇相容的IE版本。攻擊者嵌入的上述二類標籤再由IE載入後，location物件遭到欺騙，使惡意物件得以存取原本只有主瀏覽器視窗才看得到的資訊，即使用者輸入的所有內容，包括URL及查詢關鍵字。

參考連結：

http://www.ithome.com.tw/news/117089