微軟正在調(diào)查報道的IE8新漏洞。根據(jù)Full Disclosure郵件列表的披露，攻擊者可以利用該漏洞竊取數(shù)據(jù)或破壞社會網(wǎng)絡。

IE CSS bug使攻擊者可以將瀏覽器定向到一個惡意網(wǎng)站，迫使受害者發(fā)送信息到Twitter或其他社交網(wǎng)站上。這種跨域（cross-origin）攻擊將影響瀏覽器處理CSS樣式表單的方式。它可以劫持用戶的認證瀏覽會話，竊取個人信息（即使JavaScript被禁用）。

谷歌工程師Chris Evans在郵件列表中披漏了該IE漏洞。Chris Evans是一名安全研究員，他將他在滲透測試、代碼審計和黑盒分析中所發(fā)現(xiàn)的安全漏洞記錄了下來。

跨域攻擊的目標是CSS，它已在去年12月被披露。其他瀏覽器制造商，包括Apple、Google、Mozilla和Opera，已經(jīng)糾正了該錯誤。

Evans說，“我沒有成功說服微軟修復該漏洞，它是一個IE bug，不關(guān)Twitter的事，現(xiàn)在還沒有合適的解決辦法。”

Evans說該漏洞可能在2008年就存在了，可能已經(jīng)影響了IE的早期版本。為了利用該漏洞，攻擊者需要讓受害者點擊一個鏈接。Evans寫道，他推測，短的URL可能會被利用，并引起嚴重的安全問題。

DLL load hijacking漏洞

微軟也正在解決報道的DLL hijacking漏洞。微軟在上周的安全公告中發(fā)布了一個更新，并敦促用戶部署新工具和自動修復程序來臨時解決該問題。

該漏洞影響應用程序，包括可以在Windows中共向文件的第三方應用程序。微軟表示他將修復該漏洞。攻擊者可以使用該漏洞在受害者的機器上執(zhí)行代碼，但是微軟將該漏洞定義為“重要”，因為它需要用戶來交互。用戶需要點擊一系列警告框和對話框才能打開企圖利用該漏洞的惡意文件。