Internet Explorer 中的一个漏洞使用户凭据面临风险，微软正在努力修复它

Internet Explorer 中的一个新漏洞今天被曝光。 该漏洞适用于所有最新版本的 IE，它允许任何人访问用户的登录凭据。 这是一个通用的跨站脚本 (XSS) 错误， 概念验证漏洞利用 最近在网络上发布了。

为了演示攻击，dailymail.co.uk 的内容已被外部域更改。

一旦拥有 cookie，攻击者就可以访问通常只有受害者才能访问的相同受限区域，包括包含信用卡数据、浏览历史记录和其他机密数据的区域。 网络钓鱼者还可以利用该漏洞诱骗人们泄露敏感网站的密码。

Microsoft 已意识到此错误并已着手修复。

我们不知道此漏洞正在被积极利用，并且正在开发安全更新。 为了利用这一点，攻击者首先需要通常通过网络钓鱼来引诱用户访问恶意网站。 SmartScreen 在较新版本的 Internet Explorer 中默认打开，有助于防范网络钓鱼网站。 我们继续鼓励客户避免打开来自不受信任来源的链接和访问不受信任的网站，并在离开网站时注销以帮助保护他们的信息。

通过： Ars Technica的