IE 7 Pop-up視窗又出問題

安全專家30日警告，微軟網路瀏覽器IE 7一項新發現的問題，可導致惡意攻擊者更改合法網站的 Pop-up視窗內容。

使用者若開啟合法網站的 Pop-up視窗，便可能受到影響。這是微軟自兩週前推出IE 7以來，被安全業界抓出的第二個問題。上週被發現的瑕疵也與 Pop-up視窗功能相關。

發現這兩個問題的Secunia公司技術長Thomas Kristensen表示，攻擊者若將IE 7的兩個安全漏洞若結合使用，甚至可輕鬆矇騙過警戒心最高的使用者。最近發現的問題已被Secunia評為安全弱點，微軟則堅稱這是瀏覽器的「次設計行為」。

微軟的代表說：「（Secunia）的報告描述一般網路瀏覽器允許網站開啟或重複使用自動彈出視窗的一種次設計行為。在IE 7，網頁的實際網址會顯示在彈出視窗的位址列，讓使用者正確地作出信任決定。」微軟表示，使用者若要增強個人的防衛能力，應遵循安全瀏覽指南，並在輸入敏感性個人資料前確認網址連結。

Secunia 將最近這一個瑕疵評為「中度危急」，因為瀏覽惡意內容不會讓攻擊者存取使用者的電腦。但使用者仍須注意，不應在自動彈出視窗內輸入信用卡號、帳號和密碼等敏感資訊。此外，該弱點也需要使用者互動，並且只影響特定受信任的網站。

Secunia指出，Windows XP SP2和其他可執行IE 7的系統都在最新瑕疵的影響範圍內。該公司建議使用者在瀏覽信任網站時，避免進入非信任的網站。