Secunia：这次的IE7漏洞是真的

tootoo

虽然Secunia在IE7发布24小时内就挑出了一条“虫子”，但微软说那只是Outlook Express的问题，与IE7无关。看来Secunia有点儿不服气，因为他们再次找到了IE7的钓鱼欺骗漏洞不但触及了IE7的重点改进之处，而且也是货真价实的缺陷。

Secunia的安全报告称，IE7的这一漏洞允许恶意网站在弹出包含欺骗性地址的窗口，攻击者可利用这一弱点哄骗用户，使之在访问恶意页面的时候还以为正在浏览可信任网站。

Secunia还给出了一个实际演示：弹出窗口显示的地址是微软网站[url=]http://www.microsoft.com[/url]，页面内容却是Secunia的。

微软代表在一封E-mail中承认，IE7地址栏显示网址的方式存在问题，因此如果攻击者采用特殊格式的链接，弹出窗口就会不显示网址的左半部分，从而迷惑用户；不过微软指出，如果点击浏览器窗口或者地址栏，然后拖动，真实网址就会全部显示出来，而且如果IE7的反钓鱼屏障能识别恶意网站，攻击也不会成功。

微软称，目前尚未发现该缺陷遭到实际利用，而且相关补丁会在今后提供。

用句比较俗的话说就是：虽然IE7和Firefox2已经发布，但一切才刚刚开始