安全研究人员称,他们在微软的IE浏览器中发现一个严重的安全缺陷,可能会泄露互联网用户的信用卡号码和其他敏感的个人资料。
独立安全研究人员本哈姆表示,这一安全漏洞存在已经至少有5年了,当用户进行网上购物或因进行电子商务活动而提供自己的个人资料时,黑客就可能截取这些资料。他说,如果向一个SSL站点输入信用卡号,其他人就可能截取它。IE不检查用来证明网站身份的数字化证书的有效性,使得黑客有机会下手。
本哈姆指出,数字化证书一般是由VeriSign等受信任的授权机构发放的,被网站与SSL联合使用。只有拥有任意一个网站的数字化证书,就能够生成其他任意网站的数字化证书,这是一个非常严重的问题。
密码学专家布鲁斯表示,这是我见过的最严重的加密缺陷。这一缺陷意味着,只要是微软的IE的用户,SSL的所有加密保护措施都不起作用。
微软公司安全反应小组的的经理斯格特表示,微软正在调查这一问题,但其他一些因素降低了这一安全缺陷的危险性。例如,黑客必须创建一个欺骗性质的网站,然后将用户引导到这一欺骗性质的网站。
但本哈姆和布鲁斯并不赞同斯格特的观点,他们指出,黑客一直在利用欺骗网站,而且能够公开地得到引导用户到欺骗网站的工具。本哈姆还表示,黑客无需使用欺骗性网站,就能够从佥的网站截取用户的资料。
