主流浏览器“窗口引用跨域漏洞”警告

lima668

产品官方：该漏洞影响所有版本的Internet Explorer(包括以IE内核Trident开发的第三方浏览器)、Firefox、Chrome等主流浏览器。

　　漏洞来源：rayh4c@80sec.com (http://www.80sec.com)

　　漏洞说明：80sec发现了一个针对浏览器的窗口引用功能的跨域漏洞，所有主流浏览器对于该功能并没有很好的执行同源策略，导致用户可能在毫无查觉的情况下被钓鱼攻击，可能跨internet域执行任意脚本。

　　漏洞状态：80sec正在积极联系厂商，反馈情况如下。

　　360安全浏览器官方和世界之窗浏览器官方第一时间响应，并于1月8日修复该漏洞。

　　谷歌浏览器(chrome)官方无任何反馈，新版本2.0.156.1产品于1月9日悄悄的修复了该漏洞。

　　微软中国安全响应小组反馈，正在深入分析评估该漏洞。

　　火狐浏览器(Firefox)官方bugzilla反馈，尚未确认该漏洞。

　　其他浏览器官方目前没有任何反馈。

　　漏洞建议：建议用户及时关注厂商提供的补丁，在此期间浏览站点的时候不要随便点击不明站点提供的链接，避免遭受损失。

李静思

浏览器的漏洞是一个大问题。