以色列安全研究员Matan Gillon近日发现，IE浏览器在处理CSS时存在缺陷，会导致Google Desktop桌面搜索工具用户的私人信息被窃取。

　　Gillon使用概念证明型方法演示了如何利用这一安全缺陷。他说：“IE的这一设计缺陷可使得攻击者获取用户私人数据或冒充用户身份进行远程域操作。”

　　Gillon设计了一个网页，安装Google Desktop的用户在使用IE浏览该网页时，利用该搜索工具即可得到以“password”为关键词反馈的结果。Gillon认为可能会有数以千计的网页遭到利用，而且目前还没有解决方法。

　　微软和Google都表示正在对该问题进行调查。微软还表示，目前尚不清楚利用该缺陷的恶意代码是否已经出现，但正在关注事态的进展。

　　安全研究员Tom Ferris说：“这个缺陷和IE的其它缺陷没有什么不同，但启动Google Desktop并获取数据这种行为非常具有创新性。我相信它能窃取用户的Quicken数据和数据库文件等。”

　　eEye数字安全公司产品经理Steve Manzuik对此表示赞同，并称：“这显然是IE的缺陷，与Google Desktop无关。攻击者可以利用Google Desktop偷窃数据，但这显然是IE造成的。”

　　Gillon还发现，Firefox和Opera等浏览器不受影响，用户可以使用这些非IE内核浏览器作为替换或者屏蔽IE中的JavaScript。

　　近来Windows和IE不断曝出新漏洞，而且多数都是高危级别，攻击代码也频频出现，看来下周二的安全补丁日一定会非常“热闹”了。

(责任编辑：关美纳)