微軟正在調(diào)查報(bào)道的IE8新漏洞。根據(jù)Full Disclosure郵件列表的披露，攻擊者可以利用該漏洞竊取數(shù)據(jù)或破壞社會(huì)網(wǎng)絡(luò)。

IE CSS bug使攻擊者可以將瀏覽器定向到一個(gè)惡意網(wǎng)站，迫使受害者發(fā)送信息到Twitter或其他社交網(wǎng)站上。這種跨域（cross-origin）攻擊將影響瀏覽器處理CSS樣式表單的方式。它可以劫持用戶的認(rèn)證瀏覽會(huì)話，竊取個(gè)人信息（即使JavaScript被禁用）。

谷歌工程師Chris Evans在郵件列表中披漏了該IE漏洞。Chris Evans是一名安全研究員，他將他在滲透測(cè)試、代碼審計(jì)和黑盒分析中所發(fā)現(xiàn)的安全漏洞記錄了下來(lái)。

跨域攻擊的目標(biāo)是CSS，它已在去年12月被披露。其他瀏覽器制造商，包括Apple、Google、Mozilla和Opera，已經(jīng)糾正了該錯(cuò)誤。

Evans說(shuō)，“我沒(méi)有成功說(shuō)服微軟修復(fù)該漏洞，它是一個(gè)IE bug，不關(guān)Twitter的事，現(xiàn)在還沒(méi)有合適的解決辦法�！�

Evans說(shuō)該漏洞可能在2008年就存在了，可能已經(jīng)影響了IE的早期版本。為了利用該漏洞，攻擊者需要讓受害者點(diǎn)擊一個(gè)鏈接。Evans寫道，他推測(cè)，短的URL可能會(huì)被利用，并引起嚴(yán)重的安全問(wèn)題。

DLL load hijacking漏洞

微軟也正在解決報(bào)道的DLL hijacking漏洞。微軟在上周的安全公告中發(fā)布了一個(gè)更新，并敦促用戶部署新工具和自動(dòng)修復(fù)程序來(lái)臨時(shí)解決該問(wèn)題。

該漏洞影響應(yīng)用程序，包括可以在Windows中共向文件的第三方應(yīng)用程序。微軟表示他將修復(fù)該漏洞。攻擊者可以使用該漏洞在受害者的機(jī)器上執(zhí)行代碼，但是微軟將該漏洞定義為“重要”，因?yàn)樗�需要用戶�?lái)交互。用戶需要點(diǎn)擊一系列警告框和對(duì)話框才能打開(kāi)企圖利用該漏洞的惡意文件。