作為“破鼓萬人捶”的一個典型，微軟公司年邁的 Internet Explorer 瀏覽器再一次被攻擊者們給盯上，曝出了一個可被第三方記錄用戶瀏覽習慣的 bug 。據(jù) Web 安全專家 Michael Caballero 在近日的一篇博客文章中所述，該 bug 會在頁面加載惡意 HTML 對象、并結(jié)合兼容性模式元標簽頁時出現(xiàn)。當用戶訪問黑客或廣告站點的時候，會被允許定制的 HTML 或 JavaScript 代碼。

一段代碼運行之后，該惡意標簽頁可在無意中捕捉原本旨在主瀏覽器窗口中可用的信息。

結(jié)果就是，攻擊者（和其它攻擊方）也可借此劫持主機用戶的數(shù)據(jù)，將它用于其它惡意活動、或為廣告目的而收集用戶數(shù)據(jù)。

Caballero 已經(jīng)提供了一份供任何人“調(diào)試”該 bug 的代碼，感興趣的網(wǎng)友可以戳這里去實驗一下（傳送門*1）。

盡管微軟已經(jīng)“放棄”IE，將全部精力轉(zhuǎn)向了 Windows 10 平臺上新引入的 Edge 瀏覽器，但前者龐大的安裝基數(shù)使得這一安全隱患仍不可小覷。

Caballero 在博客中指出：“在我看來，微軟想要擺脫 IE，但還沒有明說出來”。

大約一年前，該安全專家還披露過 Microsoft Edge 瀏覽器的一個漏洞，該漏洞使得技術(shù)支持詐騙者們可以利用 SmartScreen 技術(shù)來干壞事。