Microsoft Internet Explorer通用跨站点脚本缺陷

该漏洞被称为通用跨站点脚本（XSS）缺陷它允许攻击者绕过同源策略，这是一种基本的浏览器安全机制，以便在任何网站上发起高度可信的钓鱼攻击或劫持用户帐户。

这个同一原产地政策是保护用户浏览体验的指导原则之一。SOP实际上阻止一个站点访问或修改任何其他站点的浏览器属性，如cookie、位置、响应等，从而确保没有网站所有者的授权，任何第三方都不能插入代码。

最近，一个名为Deusen的组织发布了一个概念验证漏洞，显示了当有人使用运行最新补丁的受支持版本的Internet Explorer访问恶意创建的页面时，网站如何违反SOP规则。

为了证明这次攻击，该组织利用了《每日邮报》网站上违反同源策略的漏洞，并注入了“攻击”字样被Deusen黑客攻击“在《每日邮报》网站上，这意味着还可以注入其他HTML和Javascript代码。

该漏洞代码似乎使用iframes篡改IE对SOP的支持。

而不是每日邮报。在co.uk网站上，网络罪犯可以使用银行网站，然后注入一个恶意表单，要求用户提供私人财务信息。

一旦攻击者的代码绕过SOP并被注入，代码就可以访问会话cookie，一旦拥有cookie，攻击者就可以访问通常仅限于目标网站的敏感信息，包括那些具有信用卡数据、浏览历史和其他机密数据的信息。

Tumblr的高级安全工程师乔伊·福勒（Joey Fowler）表示，如果目标网站使用加密的HTTPS协议进行安全通信，攻击也会起作用。

然而，这些网站可以通过使用名为X-Frame-Options用“否认”或“拒绝”同源Folwer在邮件列表线程中指出，“值，这会阻止其他网站在iFrame中加载它们。”。

微软正在努力修复该漏洞，该漏洞可在运行Windows 7和Windows 8.1操作系统的Internet Explorer 11上成功运行。

在一份声明中，微软表示“不知道该漏洞正在被积极利用，正在进行安全更新”该公司还鼓励客户“鼓励客户避免打开来自不受信任来源的链接和访问不受信任的网站，并在离开网站时注销，以帮助保护其信息。”