[转]IE+雅虎邮件=新安全漏洞 请小心你的登录密码

烟霞雨濛濛

3月23日消息，基于网络的电子邮件服务使用的过滤技术存在安全漏洞，使黑客可以绕过防御措施发送病毒。
以色列安全软件公司GreyMagic 3月23日警告说，这种严重的安全漏洞会让攻击者根据自己的选择运行代码，其方法就是简单地向不加怀疑的Hotmail或者Yahoo!用户发送一封电子邮件。当受害人打算阅读这封电子邮件的时候，这个代码便开始运行并将产生可怕的后果，如窃取用户的登录名和密码或者控制用户的计算机等。
这个问题是由IE浏览器中存在的跨网站脚本安全漏洞引起的。利用这个安全漏洞是采用了一种新的方法，就是在网页中嵌入了一种称作“HTML+TIME”的IE技术的脚本，就是给HTML网页增加了定时和媒体同步支持。
这个安全漏洞降低了基于网络的电子邮件服务扫描这种HTML内容以监测病毒的能力。不过，如果用户使用最新的杀毒扫描程序和个人防火墙产品就可以得到保护，即使黑客突破了那个防御层也没有关系。
GreyMagic软件公司已经就这个问题向微软发出了警告并且与微软合作修复了在Hotmail中存在的安全漏洞。Hotmail目前已经没有这个安全漏洞了。
不幸的是，GreyMagic与雅虎安全部门的联系却失败了。因此，雅虎的网络电子邮件服务仍存在安全漏洞。GreyMagic警告说，其它基于网络的电子邮件系统可能也存在这个安全漏洞。这些服务的用户可以使用一种IE以外的浏览器来绕过这个安全漏洞，至少在补丁发布时前应该如此。