IE 存在document.open()方式地址欺骗漏洞

Microsoft Internet Explorer：多个版本的安全性挑战

BUGTRAQ ID：24911

CVE(CAN) ID：CVE-2007-3826

Internet Explorer是微软发布的广受欢迎的WEB浏览器。近期被发现其document.open()机制存在漏洞，可能对用户的网络安全构成威胁。这是一个值得重视的问题，因为远程攻击者可能利用此漏洞进行地址欺骗攻击。

具体来说，当用户在IE浏览器中的地址栏手动输入URL，并在调用onBeforeUnload事件之前反复调用document.open()方法时，浏览器并未能正确执行这一功能。这导致页面无法跳转至输入的URL，但地址栏仍显示目标，造成一种正在访问其他站点的假象。这种情况为钓鱼攻击提供了可乘之机。

来源：Michal Zalewski（）已对此问题进行了详细研究，并提供了相关链接供进一步了解：

secunia: 提供详细的安全咨询（ID：26069）

full-disclosure邮件列表：讨论了该漏洞的详细信息（链接指向七月的一封邮件）

Microsoft官方：发布了一个针对此问题的安全公告（MS07-057）及相应补丁

US-CERT网站：也发布了相关的技术警报

建议与解决方案：

针对这一问题，微软已经发布了安全公告MS07-057以及相应的补丁。用户可以通过访问以下链接下载并安装补丁：MS07-057：Internet Explorer的累积安全更新（939653）。为了网络安全，我们强烈建议所有受影响版本的Internet Explorer用户尽快安装此补丁。

为了防范此类网络攻击，用户应保持警惕，避免在不受信任的网站上输入个人信息或进行敏感操作。定期更新浏览器和操作系统也能有效预防潜在的安全风险。让我们共同努力，保护自己的网络安全。

提醒广大网友，网络安全重于泰山，时刻保持警惕，才能避免遭受网络攻击带来的损失。对于微软以及其他软件厂商来说，更应重视用户的安全需求，持续推出安全更新和补丁，确保用户的网络安全。