丹麦Secunia当地时间12月8日公开了在主流网络浏览器Internet Explorer(IE)、Mozilla／Mozilla Firefox、Opera、Safari、Konqueror中发现的安全漏洞,攻击者可"抢占"著名可靠网站的弹出式窗口,在窗口中显示第三方网站的网页(内容).由于该安全漏洞可用于网络欺诈,因此用户务必注意.Secunia公司公开了利用此安全漏洞的演示页面（英文）用户访问Secunia网站上的演示页面后，会在另一个窗口显示美国花旗银行的网页。接下来，如果在花旗银行网页中点击被链接到特定弹出式窗口的图像，那么Secunia网站上的弹出式窗口就会显示“为什么”字样

使用IE的演示,这就是此次的安全漏洞.


即使已经采用了拦截弹出式窗口的设置，或者正在使用拦截弹出式窗口的工具，仍旧能够实施同样的“攻击”
基于Firefox的演示结果


据Secunia公开的信息，要想“成功地”突破此安全漏洞进行攻击，必须把用户引诱到攻击者的网站。也就是说，（1）首先，在用户的浏览器里显示攻击者的网页；然后（2）在别的浏览器窗口显示可靠网站的网页。在这种状态下，一旦用户信赖的网站上显示了弹出式窗口，（3）就能够在此窗口中显示（并非可靠网站的网页）攻击者指向的网页

Secunia公开的流程图


如果恶意利用此安全漏洞，攻击者就能进行网络欺诈。比如“在弹出式窗口中显示链接到攻击者网站上的假冒窗口，让用户输入个人信息”，用户务必严加防范。

据悉Secunia公司已于11月19日向存在此安全漏洞的各浏览器开发商做了汇报。但似乎所有的供应商都没有公开与此有关的信息、补丁、修正版等。

Secunia公司提出的防范措施是：“在浏览可靠网站时，不要浏览不可靠的网站（Do not browse untrusted sites while browsing trusted sites）。”

====================
新闻来源:日经BP