世界之窗论坛 - Powered by Discuz! Board

标题: [经验交流] TW惊现漏洞??? [打印本页]

作者: 笑飞风云 时间: 2008-11-8 16:08 标题: TW惊现漏洞???

世界之窗(The World)浏览器地址栏欺骗漏洞警告

产品官方：世界之窗浏览器是一款小巧、快速、安全、功能强大的多窗口浏览器，它是完全免费，没有任何功能限制的绿色软件。世界之窗浏览器兼容微软IE浏览器，可运行于微软windows98/ME/2000/XP/Vista系列操作系统上，它使用IE浏览器相同的内核，因此网页显示效果可以与IE浏览器完全相同，推荐您同时安装IE6.0版或者更高的版本。世界之窗浏览器由凤凰工作室出品，它完全免费，没有任何功能限制，不捆绑任何第三方软件，可以干净卸载，请您放心使用。不同于常见的其它IE内核浏览器，世界之窗浏览器使用C++和Win32 SDK开发，自行针对浏览器开发进行了代码库的封装，具有更扁平更透明的封装特性，功能实现的方法更加灵活快速；世界之窗2.0版本在积累了1.x系列版本的长期开发经验基础上，所有程序架构代码全部重写、所有浏览增强功能代码全部重写以追求更完美更优秀的软件品质。
厂商地址为http://www.ioage.com/

漏洞来源：http://www.80sec.com/

漏洞说明：80sec在其产品世界之窗浏览器和360安全浏览器中发现了一个严重的安全问题，由于浏览器在处理某些伪协议时存在安全问题，导致恶意站点可以实现地址栏欺骗，用户可能在毫无知觉的情况下被引导进去一个钓鱼或者欺骗页面，该页面的地址栏是完全正确的地址，内容却可以被随意构造。

漏洞证明：80sec将在厂商修补该问题之后提供漏洞证明代码，请关注http://www.80sec.com/

漏洞状态：80sec已经及时与厂商取得沟通，厂商将于近期发布补丁。

漏洞建议：建议用户及时关注厂商提供的补丁，在此期间浏览站点的时候不要随便点击不明站点提供的链接，避免遭受损失。

PS:刚刚看到，让我很吃惊!!!暂时不清楚具体的情况，但是会随时关注发展动态,也请大家留意一下...

作者: hblf 时间: 2008-11-8 16:19

http://bbs.ioage.com/cn/thread-70093-1-1.html
看下这帖子里面修复项目的最后一个～

作者: 412268499 时间: 2008-11-8 18:04

修复了一个可能导致钓鱼攻击的漏洞，感谢80sec组织的大力协助

论坛置顶帖记得看

作者: 笑飞风云 时间: 2008-11-8 21:46

哎，如果是发布bug的修复补丁就好了，2.x的老版用的满爽的，都不大想换。。。

作者: nov.six 时间: 2008-11-8 21:51

这个大家已经知道了，你拿来当新闻

，最新版本的2316已经修复了。下载使用吧

作者: abc110110 时间: 2008-11-8 21:53

不知道360浏览器修复了吗

作者: pad88 时间: 2008-11-8 23:36

过时了还在这儿说。

作者: 擱淺Δē√瑷 时间: 2008-11-8 23:40

LZ太耸人听闻了....讨厌这种

作者: 小絮 时间: 2008-11-8 23:48

原帖由 笑飞风云 于 2008-11-8 21:46 发表 http://bbs.ioage.com/cn/images/common/back.gif
哎，如果是发布bug的修复补丁就好了，2.x的老版用的满爽的，都不大想换。。。

下载个绿色版的tw，解压出来后将theworld.exe文件复制覆盖原来的安装目录就可以了，比修复补丁还方便。

作者: xu527411 时间: 2008-11-9 02:52

楼主的消息发晚了，我早都知道了，还是谢谢楼主发帖幸苦了！

欢迎光临世界之窗论坛 (http://bbs.theworld.cn/)