Linksys無線路由器發現XSS安全弱點　相關用戶當心別誤入惡意URI

據安全網站SecurityFocus的最新安全公告指出，Cisco旗下無線路由器產品Linksys WRT160N，的「apply.cgi」無線參數頁面，被發現存在跨站指令碼攻擊(Cross-Site Scripting；XSS)安全弱點，而引發該弱點的主要原因，來自於應用程式無法適當處理使用者輸入的資料。令人擔憂的是，惡意攻擊者很可能藉由將受害者引誘到某惡意URI位址的作法，成功地展開上述跨站指令碼弱點攻擊。

面對上述弱點，惡意攻意者有很多可資操縱並展開攻擊的地方，例如駭客很可能在受感染的裝置中，於所使用的瀏覽器裡展開執行任意碼的惡意勾當，如此一來，惡意攻擊者便可悄悄將Cookie-based身份認證之用的數碼憑證竊取到手，抑或進一步引發阻斷服務(DoS)攻擊，此外，SecurityFocus也不排除可能有其它不同類型的衍生性惡意攻擊。

雖然SecurityFocus並未清楚指出，當前網路上是否有針對前述安全弱點而特別撰寫的惡意攻擊程式或相關攻擊事件，不過該網站特別強調，惡意攻擊者只要成功引誘過於大意的使用者點選進入惡意URI，即可成功發動攻擊行動。SecurityFocus並在其網站上對外發佈驗證範例程式URI(http://downloads.securityfocus.com/vulnerabilities/exploits/32496.html)的下載服務，相關安全人員可下載，以便進一步瞭解該弱點可能產生的嚴重狀況。

令人擔心的是，據SecurityFocus表示，截止目前為止，該網站尚未發現Cisco官方有發佈任何可修補該弱點的更新程式，因此，相關用戶務必於近期內嚴密追蹤該弱點以及Cisco方面的回應，以確保安全。

新聞來源：Linksys WRT160N 'apply.cgi' Cross-Site Scripting Vulnerability