卡巴斯基实验室发现IE恶意软件攻击漏洞

    在卡巴斯基实验室，一工作人员发现IE一个由恶意软件下载驱动的漏洞，它是利用微软所记述的IE“功能”来进行跨站点攻击的。

　　这种攻击是在一个已经有安全危机的合法网站上发现的，它是使用一种改进的GIF文件，利用跨站点脚本的功能以及其脆弱性完成攻击的。

　　这位工作人员表示，在很久以前就对微软报告过该漏洞，并警告公司嵌入到Javascript的GIF文件在某种情况下可能会执行。但是微软并不同意这个建议，也从来没有对其进行修补过。

    在着眼最近有安全危及的网站，它们都是一些流量比较高的网站，在这些网站中GIF文件都包含一个嵌入的iFrame框架，这个框架会促使IE用户浸入一个已知的恶意网站。尽管这些恶意网站目前是离线状态，但是已经有足够的证据表明其涉及到ID盗窃攻击。

　　和当前的由于Javascript嵌入到主页中，而安全受到危及的普通网站相比，这次攻击好像更加先进一些，在这种情况下，在有安全漏洞的网站上查看源文件将不能够揭示任何恶意代码，因而进行快速分析会更加困难。

　　这位工作人员已经与微软进行再次联系，希望微软在这个问题上就其立场重新考虑。