谷歌工程师戳微软：IE的CSS漏洞该补了

　　【硅谷动力安全频道】这个漏洞可能让黑客利用注入CSS代码的方式，窃取受害网站的机密资料，谷歌安全工程师还指出，有证据可证明微软在2008年时就知道这个漏洞。而目前，各大浏览器皆已修补此漏洞。

　　

　　在微软工程师上周五（9/3）揭露IE一个陈年的CSS安全漏洞之后，微软终于开始调查这个可能影响Twitter及Web-mail的老问题。

　　这个漏洞可能让黑客利用注入CSS代码的方式，窃取受害网站的机密资料，而谷歌安全工程师Chris Evans上周在Full Disclosure mailing list揭露这个IE安全漏洞时，开宗明义就表示：我希望这只臭虫能被修好……

　　Evans表示，在最新版的IE 8浏览器里有个很讨厌的漏洞，之前请厂商（微软）修补，却没成功。他还指出，该漏洞可以让任意网站绑架受害的电脑发出像是Tweets一类的社交讯息。Evans并建立一网页展示这种攻击。

　　他分析指出，这种攻击的问题并不是出在Twitter，而完全是利用IE的臭虫，而且，受影响的很可能还包括了更早的IE版本。

　　事实上这个漏洞Evans在2008年底时就已经揭露，当时Evants是以Yahoo的邮箱服务当范例在说明，而受影响的遍及了五大浏览器。Evants也强调，有证据可证明微软在2008年时就知道这个漏洞。而目前，各大浏览器皆已修补此漏洞。

　　根据Evants的说明，该漏洞可能让黑客利用浏览器载入CSS样式表时注入貌似合法的字串，接着黑客可进一步让受害网站资料的URL出现在背景的映像里，然后从网页服务器的logs里收集相关的资料。

　　Evants并提供了他与卡内基美隆大学所合作发表的相关防治研究报告。该报告指出，这种名为“跨源”的CSS攻击，可利用注入CSS来窃取受害网站的机密资料，而相关的防治方法已部署到Firefox、Chrome，及Safari，还有Opera。

　　根据该报告的说明，这种Cross-origin的CSS攻击最早在2002年，后来分别在2005年及2008年有两次发现。截至目前为止，所知的攻击都需要有JavaScript，而且大多数都和IE有关。

　　就在Evants揭露这个陈年漏洞之后，微软的安全中心在Twitter上表示，已经注意到被揭露的IE漏洞，并开始着手调查。不过根据外媒引述微软回应指出，微软说目前为止还未发现有任何锁定该漏洞的相关攻击。