安全专家周一称,已在微软的IE浏览器,和一项PGP数据键值加密程序中发现严重瑕疵,可能使互联网用户的信用卡和其他敏感资料外泄。
旧金山的独立安全研究人员贝纳姆表示,IE浏览器的问题已存在至少五年,当用户透过电子商务购物或提供资讯时,其个人资料可能遭攻击者拦截。
他补充道,若曾在采安全插座层(SSL)协定的网站输入信用卡资料,就有可能被人拦截。贝纳姆称,IE无法查验用来证明网站身分的数位认证有效与否,使资料传输中途遭攻击而未被发觉。
他认为此问题非常严重。密码专家施耐德亦表赞同。施耐德称,“这表示若你是IE使用者,则所有SSL的保护都不管用。”
微软安全回应中心经理卡尔普指出,该公司正在调查IE的瑕疵;而有若干因素使用户的风险得以降低。例如,攻击者必须设立一个假网站,重新将使用者从合法的网站导引至假网站。
不过贝纳姆表示,攻击者根本不必设立假网站,只要从合法的网站就能在受害者未察觉之下拦截资料。
PGP加密程序也见瑕疵
此外,施耐德周一还另外公布了资料,显示PGP(Pretty Good Privacy)信息加密程序也有瑕疵。
施耐德和马里兰大学的卡兹发现了攻击者可用以拦截PGP加密信息的方法,且不需解密即可修改信息,并欺骗使用者将其送回,取得原始的信息。
