安全公告
Microsoft 安全咨询902333
浏览器窗口(未指明其来源)可能用于网络钓鱼尝试
发布时间: 2005 年 6 月 21 日
Microsoft 调查了一份网络钓鱼方法的公共报告,该方法通常影响 Web 浏览器,包括 Internet Explorer。
报告描述了多个重叠浏览器窗口的方案,其中一些窗口不包含其来源的指示。 攻击者可能会以某种方式安排窗口,以欺骗用户认为身份不明的对话或弹出窗口在事实上是欺诈性的时可信的。 当用户访问恶意网站时,可能会将用户重定向到受信任的网站。 然后,攻击者可能会以尝试网络钓鱼攻击的对话框的形式显示重叠窗口。 然后,系统会提示用户将个人信息输入到此对话框中,该对话框已从恶意网站打开。 用户可能认为此对话框是由受信任的网站打开的,他们可能会输入个人信息。 但是,此信息将发送到恶意网站。
已遵循有关避免欺骗和网络钓鱼攻击的一般指导的客户面临受到此问题影响的风险降低。 如果特定窗口或对话框没有地址栏,并且没有可用于验证站点证书的锁图标,则用户没有足够的信息来基于该窗口或对话框的有效信任决策。 若要查看 Microsoft 有关如何避免欺骗攻击的一般指南,请访问 Home 网站的安全。
我们将继续鼓励客户安装 Windows XP SP2,并遵循“保护你的电脑”指南来启用防火墙。 这包括启用自动汇报以接收软件更新和安装防病毒软件。 有关详细信息, 请访问“保护电脑”网站。
相信他们可能受此网络钓鱼方法影响的客户可以联系产品支持服务。 可以使用 PC 保险箱ty 行(1866-PCSAFETY),在北美联系产品支持服务。 国际客户可以使用 Microsoft 安全帮助和支持家庭用户网站的可用方法之一联系产品支持服务。
常规信息
概述
咨询目的: 澄清与浏览器窗口相关的风险,而不指示其来源,并提供有关如何帮助防止身份盗窃免受网络钓鱼诈骗的指导。
公告状态: 公告已发布,未计划安全更新。
建议: 查看建议的操作并根据需要进行配置。
| 参考 | 网站 |
|---|---|
| 帮助防止身份盗用网络钓鱼诈骗 | 家庭网站安全性 |
| 保护电脑 | 保护电脑网站 |
此公告适用于以下软件。
| 相关软件 |
| Microsoft Windows 2000 Service Pack 3 上的 Internet Explorer 5.01 Service Pack 3 |
| Microsoft Windows 2000 Service Pack 4 上的 Internet Explorer 5.01 Service Pack 4 |
| Microsoft Windows 2000 Service Pack 3、Microsoft Windows 2000 Service Pack 4 或 Microsoft Windows XP Service Pack 1 上的 Internet Explorer 6 Service Pack 1 |
| 适用于 Microsoft Windows XP Service Pack 2 的 Internet Explorer 6 |
| 适用于 Microsoft Windows XP 64 位版 Service Pack 1 的 Internet Explorer 6 Service Pack 1 (Itanium) |
| 适用于 Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 的 Internet Explorer 6 |
| 适用于基于 Itanium 的系统的 Microsoft Windows Server 2003 的 Internet Explorer 6、适用于 Itanium 的系统 SP1 的 Microsoft Windows Server 2003、Microsoft Windows XP 64 位版本 2003(Itanium)、Microsoft Windows Server 2003 x64 Edition 和 Microsoft Windows XP Professional x64 Edition |
| Microsoft Windows Millennium Edition 上的 Internet Explorer 5.5 Service Pack 2 |
| Microsoft Windows 98、Microsoft Windows 98 标准版 或 Microsoft Windows Millennium Edition 上的 Internet Explorer 6 Service Pack 1 |
| 适用于 Macintosh 的 Internet Explorer 5.1 |
请注意 ,此处枚举的 Web 浏览器是当前支持的 Internet Explorer 版本。 但是,此功能不限于 Internet Explorer,但对许多 Web 浏览器很常见。
常见问题
公告的范围是什么?
此公告阐明了 Internet Explorer 中不同来源的重叠窗口的当前行为。 此功能不限于 Internet Explorer,但在许多 Web 浏览器中很常见。
导致这种情况的原因是什么?
与各种浏览器(包括 Internet Explorer)通用,可以有多个重叠的浏览器窗口。 攻击者可能会以某种方式安排窗口,以欺骗用户认为身份不明的对话或弹出窗口在事实上是欺诈性的时可信的。 当用户访问恶意网站时,可能会将用户重定向到受信任的网站。 然后,攻击者可能会以尝试网络钓鱼攻击的对话框的形式显示重叠窗口。 然后,系统会提示用户将个人信息输入到此对话框中,该对话框已从恶意网站打开。 用户可能认为此对话框是由受信任的网站打开的,他们可能会输入个人信息。 但是,此信息将发送到恶意网站。
Microsoft 是否会发出安全更新来解决此威胁?
否。 这是一个示例,说明如何在网络钓鱼尝试中使用当前的标准 Web 浏览器功能。
建议的操作
有关如何联机帮助保护自己的详细信息,请访问以下 Microsoft 网站:
其他信息
资源:
- 可以通过在以下 网站上完成表单来提供反馈。
- 美国和加拿大的客户可以从 Microsoft 产品支持服务获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持网站。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持网站。
- Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- 2005 年 6 月 21 日:已发布公告
生成于 2014-04-18T13:49:36Z-07:00