IE浏览器一个通用跨站脚本漏洞（XSS）近日被安全人员披露，该漏洞允许攻击者绕过浏览器安全机制同源策略（SOP），发起高可信网络钓鱼攻击或在任意网站上劫持用户帐户。杜森（Deusen）安全咨询公司的研究员大卫·利奥在漏洞披露文章中介绍了漏洞的详细信息。

文章中利用概念验证链接dailymail.co.uk，作为攻击目标进行演示。根据演示链接，当在最新安装的Windows8.1操作系统的计算机上打开网页浏览器IE11时，利用页面为用户提供了一个链接。用户点击该链接，在新窗口中打开dailymail.co.uk网站。短短七秒后，网站的内容就被替换成了另外一个页面，上面写着“网站被黑，我是杜森”。

这个恶意页面通过外部域名加载，但浏览器地址栏仍然显示的是www.dailymail.co.uk，这就意味着这种技术可以用于构建可信的钓鱼攻击。攻击者完全可以利用银行网站的网址做掩护，提供一个流氓表单，要求用户输入私人财务信息。由于浏览器地址栏仍将继续显示银行的合法域名，对于用户来说，几乎没有任何迹象表明哪里出了什么差错。

安全人员证实，该攻击甚至可以绕过标准的HTTP-to-HTTPS限制。

更糟糕的是，该漏洞还可绕过浏览器的同源策略。同源策略是存在于所有浏览器中的一种安全机制，用来阻止网站中通过IFRAME加载的其他网站代码对网站内容进行操作。

假如如果没有这个安全限制，攻击者就可以利用IFRAME嵌入的网站代码阅读用户的COOKIE信息。COOKIE认证信息是网站为了记住通过身份验证的用户在浏览器中设定的标识符。如果将这些COOKIE复制到另外的浏览器，就可以自动授权访问其对应的账户。

跨站脚本漏洞通常就是允许攻击者窃取COOKIE，并通过他们的URL地址在脆弱网站中注入恶意内容予以显示。该IE漏洞可以用跨站脚本漏洞的形式攻击所有网站，所以被发现者称之为“通用跨站脚本”（universal XSS）。

“通用跨站脚本漏洞允许攻击者可以在任何网站上执行脚本内容，更别说那些本就存在缺陷的网站了。要成功利用通用跨站点脚本漏洞，攻击者只需通过众所周知的恶意广告、网络钓鱼、乃至评论垃圾广告，诱使受害者加载恶意网站即可。”

以恶意广告为载体的攻击手段已经被攻击者广泛使用，通过欺诈广告网络使受害者接受恶意广告并显示在合法网站上。

目前，该漏洞只被证实影响IE11。

网站可以通过在网页代码中把X-Frame-Options的值设置成“deny”或者”same-origin”，即可防止本身被iframes装载。但不幸的是，很少有网站采用这种被推荐的安全机制。