公共計算機IE緩存有風險－用戶需警惕

據(jù)網(wǎng)絡(luò)應(yīng)用安全專業(yè)廠商Cenzic稱，如果你使用公共計算機上的IE瀏覽器訪問Gmail電子郵件賬戶，你也許會在瀏覽器的緩存中留下許多敏感的信息。
    Cenzic發(fā)布警告稱，Gmail和IE瀏覽器中的安全漏洞會嚴重影響電子郵件系統(tǒng)和用戶隱私。然而，微軟并不重視這個風險。微軟稱，這不是產(chǎn)品中的安全漏洞。
    Cenzic公司聲稱研究人員發(fā)現(xiàn)一種方法，與不適當?shù)木彺嬷噶钜黄鹗褂肅SRF（跨站請求偽造）能夠從IE緩存中劫持Gmail證書。這個安全問題僅存在于用IE訪問Gmail的過程中。微軟和Google應(yīng)該使用補丁保證用戶的安全，特別是保護那些在圖書館或者網(wǎng)吧使用計算機的那些用戶的安全。
    微軟發(fā)言人在聲明中稱，經(jīng)過全面的調(diào)查，微軟認為這個風險有些言過其實。在存在疑問的這種情況下，攻擊者需要經(jīng)過身份識別訪問系統(tǒng)之后才能修改緩存中的文件。擁有這種水平的訪問權(quán)限，攻擊者還能夠安裝惡意程序，造成比上面介紹的情況還要嚴重的后果。
    Cenzic公司的Khera承認，黑客必須物理訪問那個系統(tǒng)才能實施攻擊。但是，他堅持說，使用公共計算機的用戶會有遭到跨站腳本攻擊（XSS）的風險。他說，我理解微軟的立場。但是，這并不表示它沒有安全漏洞。這仍是一個需要修復(fù)的嚴重問題。
    由于沒有補丁，Khera建議用戶在瀏覽器上關(guān)閉緩存網(wǎng)頁，這將阻止為了以后觀看緩存任何網(wǎng)頁。但是，他警告說，這種繞過風險的措施可能會對瀏覽器的性能產(chǎn)生不利的影響。