微軟正在調(diào)查報(bào)道的IE8新漏洞。根據(jù)Full Disclosure郵件列表的披露，攻擊者可以利用該漏洞竊取數(shù)據(jù)或破壞社會網(wǎng)絡(luò)。

IE CSS bug使攻擊者可以將瀏覽器定向到一個惡意網(wǎng)站，迫使受害者發(fā)送信息到Twitter或其他社交網(wǎng)站上。這種跨域（cross-origin）攻擊將影響瀏覽器處理CSS樣式表單的方式。它可以劫持用戶的認(rèn)證瀏覽會話，竊取個人信息（即使JavaScript被禁用）。

谷歌工程師Chris Evans在郵件列表中披漏了該IE漏洞。Chris Evans是一名安全研究員，他將他在滲透測試、代碼審計(jì)和黑盒分析中所發(fā)現(xiàn)的安全漏洞記錄了下來。

跨域攻擊的目標(biāo)是CSS，它已在去年12月被披露。其他瀏覽器制造商，包括Apple、Google、Mozilla和Opera，已經(jīng)糾正了該錯誤。

Evans說，“我沒有成功說服微軟修復(fù)該漏洞，它是一個IE bug，不關(guān)Twitter的事，現(xiàn)在還沒有合適的解決辦法。”

Evans說該漏洞可能在2008年就存在了，可能已經(jīng)影響了IE的早期版本。為了利用該漏洞，攻擊者需要讓受害者點(diǎn)擊一個鏈接。Evans寫道，他推測，短的URL可能會被利用，并引起嚴(yán)重的安全問題。

DLL load hijacking漏洞

微軟也正在解決報(bào)道的DLL hijacking漏洞。微軟在上周的安全公告中發(fā)布了一個更新，并敦促用戶部署新工具和自動修復(fù)程序來臨時解決該問題。

該漏洞影響應(yīng)用程序，包括可以在Windows中共向文件的第三方應(yīng)用程序。微軟表示他將修復(fù)該漏洞。攻擊者可以使用該漏洞在受害者的機(jī)器上執(zhí)行代碼，但是微軟將該漏洞定義為“重要”，因?yàn)樗�需要用戶來交互。用戶需要點(diǎn)擊一系列警告框和對話框才能打開企圖利用該漏洞的惡意文件。