无视安全 Facebook漏洞4个月未修复

腾讯科技讯 北京时间12月10日，据国外媒体报道，网站安全公司White Hat Security日前发布安全报告称，社交网站Facebook存在一严重安全漏洞，而且在过去4个月未对该漏洞进行修补。这导致Facebook用户容易受到恶意软件和木马病毒的攻击。

White Hat Security在报告中指出，Facebook网站存在一个跨站脚本（XSS）漏洞。犯罪分子可通过该漏洞欺骗用户，使其访问虚假Facebook网站。跨站脚本漏洞是迄今为止最为常见的网站漏洞之一。黑客可以利用这种漏洞，将恶意代码和图片注入到Google.com、Facebook.com或是其它用户信赖的网站，从而创造机会在用户的计算机上安装恶意软件，或者窃取用户帐户信息。

很多情况下，跨站脚本漏洞都具有自我复制功能，其中一个案例就是最近攻击社交网站MySpace的Samy蠕虫病毒。该蠕虫病毒便是利用了跨站脚本漏洞。另外一个例子就是在2006年攻击雅虎邮件和2007年攻击Google Orkut的Yamanner蠕虫，它也是利用跨站脚本漏洞来攻击受害者。

如果说Facebook才发现或是未发现这个漏洞，这并不令人感到吃惊。令人吃惊的是，早在今年8月便有人向Facebook反应该网站存有一个跨站脚本漏洞，时至今日已过去了4个月时间，但Facebook仍迟迟未对该漏洞进行修复。

上周，一种名叫“Koobface”的病毒把目光对准Facebook的1.2亿名用户。这种病毒可以通过该网站的信息系统，感染用户的个人电脑，然后再利用这种方法盗取用户的个人敏感数据，例如信用卡号码。如果“Koobface”病毒结合Facebook的漏洞进行攻击，后果可能将不堪设想。

Facebook的这个漏洞能够影响IE、Google Chrome、Opera、Safari和未禁用脚本功能的火狐等多款浏览器。