Opera浏览器存在可伪装地址栏的安全漏洞

ufo2000

2004/05/17
　　【日经BP社报道】 丹麦安全产品开发商Secunia于当地时间5月13日宣布，Web浏览器“Opera”中存在可伪装地址栏的安全漏洞（英文）。如果恶意使用该漏洞，可能会在地址栏中显示与当前访问的Web网页不相符的URL。
　　虽然这不是能直接受到攻击的安全漏洞，但可能会被Phishing等欺诈行为所利用，因此需加以注意（本站报道）。对策是升级到最新的7.50版。不过目前7.50日语版尚未公开。
　　Opera在被要求重定向（Redirection，转到其他网页的命令）时，不管实际上有没有重定向，地址栏都会改为重定向后的URL——这就是此次的安全漏洞，也就是说：如果访问“虽然要求重定向，但随后如果访问了记录有取消重定向指令的Web网页”的话，URL就会改变，但访问的网页（网站）还是原来的那个。
　　利用这一安全漏洞，恶意用户还不能控制用户的机器或被发送病毒等。但是，如果把用户引诱到设有圈套的Web网页，再指定可靠的企业URL为“假设”的重定向地址，用户可能会认为设了圈套的网页就是可靠的企业网页。
　　此前Internet Explorer、Outlook Express、Eudora等软件中也发现了能够伪装地址栏与状态条的安全漏洞（相关报道1，本站报道2），因此不管使用哪种浏览器与邮件软件，都务必小心谨慎。

相关报道1
Outlook Express与Eudora等中发现安全漏洞
2004/05/13

　　【日经BP社报道】邮件软件Outlook Express／Outlook与Eudora中，日前分别发现了可以伪装成显示链接指向的状态条的安全漏洞。如果点击被做过手脚的HTML邮件中的链接，可能会被引诱到与状态条中显示URL不同的网站，属极有可能被在线欺诈“Phishing”恶意使用的安全漏洞（本站报道）。由于还没有公开修正补丁等，因此必须采取“不轻易点击邮件中的链接”，或是“以文本格式显示HTML邮件”等措施。
　　上述安全漏洞是美国当地时间5月8日安全相关邮件列表等公开的。
　　鼠标指针指到HTML邮件与Web网页中嵌有链接的字符串与图像上时，邮件软件与浏览器的状态条中就会显示链接所指向的URL。如果突破此次公开的安全漏洞，可能会在状态条中显示与实际指向不同的URL。也就是说，在状态条中显示可靠网站的URL来蒙弊用户，将用户引诱到其他网站去。
　　要想突破Outlook Express／Outlook（以及Internet Explorer）中发现的安全漏洞，需使用客户端图像映射图 (Client Side Image Map)。照片中显示的是安全漏洞发现者http-equiv所做的演示。HTML邮件中的URL“http://www.microsoft.com” 为GIF图像，鼠标指针指到这一图像上时，状态条中同时显示“http://www.microsoft.com”。� ... w.malware.com”。
　　Outlook 2003不会受到该漏洞的影响。
　　Eudora中发现的安全漏洞，使用的URL中包含BASIC认证的用户ID。以＜a href="http://www.trust_site.com@www.malicious_site.com"＞http: //www.trust_site.com＜/a＞为例，如果在“www.trust_site.com”与 “@www.malicious_site.com”之间� ... ��只显示“http: //www.trust_site.com”。然而，点击链接后，会被引诱到“www.malicious_site.com” （“www.trust_site.com”这些字� ... ious_site.com）。
　　据报告这一安全漏洞的Brett Glass称，Eudora之外的邮件软件中，也可能存在同样的安全漏洞。
　　由于这些安全漏洞很容易被恶意使用，因此极有可能被Phishing与垃圾邮件等利用。务必不要过于相信状态条，必须采取“不轻易点击邮件中的链接”、“以文本格式显示HTML邮件”等自我保护措施。如果必须要访问邮件中记载的URL，慎重起见，最好不要点击链接，而是在浏览器的地址栏中自己输入 URL。

本站报道2

微软IE安全补丁 可消除3种安全漏洞
2004/02/05
　　【日经BP社报道】日本微软于2月3日公开了Internet Explorer（IE）的安全补丁程序。安装补丁程序后，可以修复伪装成URL的安全漏洞和运行任意程序的安全漏洞。补丁程序可以通过“Windows Update”及微软安全信息网页获取。此补丁程序修复的安全漏洞中，危害最大的为最严重的“紧急”级，因此Windows用户必须尽快安装补丁程序。
　　自2003年10月以后，日本微软改变了公开补丁的时间表，每月集中公开一次。不过对于修复严重安全漏洞的补丁程序，有时不会按照时间表而予以公开。
　　毎月公开补丁的日期都会事先宣布，2月份的补丁程序公开日已定为2月11日。此次则在预定日期之外公开了补丁。这是微软首次没有按照计划日程临时公开补丁，估计2月11日还会按预定计划公开若干补丁。
　　此次公开的补丁可以修复以下三种安全漏洞：
（1）Travel Log的“交叉域（cross domain）”漏洞导致远程运行代码
（2）拖放操作漏洞
（3）使非法URL合法化的漏洞
　　如果恶意使用漏洞（1），只需浏览被人做过手脚的Web网页与HTML邮件，就可能运行任意程序。是一个非常危险的安全漏洞，严重程度被定为最严重的“紧急”级。
　　在日本微软的安全信息中，只对漏洞（1）的发现者表示了“谢意”，因此可以认为漏洞（1）是至今未被其他供应商与用户公开的安全漏洞。
　　与此相对，对于漏洞（2）和（3）的发现者则未致谢，这2个漏洞估计是其他供应商与用户已经公开的安全漏洞。漏洞（2）是可将任意文件保存在个人电脑上的安全漏洞，一旦用户点击Web网页与HTML邮件中被人做过手脚的链接，就会将任意文件随意保存在用户电脑的任何地方（文件夹），保存时不会出现征求用户同意的对话框。
　　虽然仅仅是保存，并不会运行任意文件（程序）。但是，如果以同样的文件名覆盖了用户频繁使用的程序文件或OS使用的程序文件，就可能在用户并未察觉的情况下运行被保存的文件。由于点击链接时并不会运行文件，因此危害程度被定为“重要”级，但实际上是一个相当危险的安全漏洞。
　　从安全漏洞的内容来看，漏洞（2）应该是2003年11月其他销售商等已经公开的安全漏洞。
　　漏洞（3）是对IE地址栏与状态条等显示的URL加以伪装的安全漏洞。如果使用这一安全漏洞，就可能将带有恶意的Web网页误认为可信任的企业与组织的Web网页。此安全漏洞是由其他销售商等于2003年12月公开的。
　　美国微软已于美国当地时间1月27日表示计划公开修复漏洞（3）的补丁程序。此次便按计划公开了包括这一补丁在内的补丁程序。安装此次公开的补丁程序后，将无法使用“http://[用户名]:[口令]@[服务器名称].[域名]/[文件名]”形式的URL。
　　补丁可以通过“Windows Update”安装，也可以从微软安全信息的网页下载。补丁程序适用于IE 6／6 SP1／6 SP1 for Windows Server 2003，IE 5.5 SP2，IE 5.01 SP2/SP3/SP4。
　　在IE6 SP1中安装此次公开的补丁，有时会无法显示本已存储的口令。

Hauser

最初由 ufo2000 发表
对策是升级到最新的7.50版。不过目前7.50日语版尚未公开。
　

already using 7.50.

amylam

我很少用，更省事。