IE再曝高危漏洞:可窃取用户名和密码

国外媒体报道，一位意大利名叫罗萨里奥瓦罗塔（Rosario Valotta）的互联网安全研究员在微软IE浏览器中发现了一个新漏洞，据说黑客可以利用那个漏洞窃取到记录着用户访问网站所用的用户名和密码等信息的cookie。他将那种黑客技术称作“cookiejacking”。

瓦罗塔称：“任何网站，任何cookie都可以通过cookiejacking技术窃取。只有你想不到的，没有它做不到的。”

瓦罗塔在电子邮件中指出，黑客们可以利用这个漏洞窃取储存在浏览器内部被称作cookie的数据文件，该文件保存着用户访问各网站的用户名和密码。

瓦罗塔称，所有版本的Windows操作系统中的所有版本的IE都存在这个漏洞，IE9也不例外。黑客在窃取到用户的上述访问资料后便可访问相同的网站，这种技术就被称作是“cookiejacking”。

利用这个漏洞，黑客只要诱使用户在PC屏幕上拖拽某个对象即可劫持该PC中的IE浏览器的cookie。虽然这看起来有点困难，但瓦罗塔声称他就可以相当轻松地办到这一点。

微软表示，黑客在现实中的cookiejacking中取得成功的可能性极低。

微软发言人杰瑞布莱恩特（Jerry Bryant）称：“鉴于cookiejacking需要用户的参与，因此我们认为这个问题的风险并不高。用户必须访问恶意网站、被诱使去点击和拖拽网页上的对象，黑客才能窃取到记录用户登录信息的cookie。