微软提醒关注浏览器安全：已成黑客高价值攻击目标

IT之家10月18日消息，微软今日在安全社区博客发布了题为《保护浏览器时代 - 从云到人工智能：关于保护现代工作空间的博客系列》的文章，指出浏览器在数字世界中的地位愈发重要，确保其安全防护能力已刻不容缓。

微软表示，浏览器已成为云计算、AI与软件即服务（SaaS）的“通用工作空间”，未来的应用也会更“以浏览器为中心”。数据显示，普通企业平均要通过浏览器访问106个SaaS应用，用户每天在浏览器中花费的时间多达6小时37分钟。

浏览器高频使用有多重原因：它与硬件无关、访问方式通用、无需复杂安装，而且AI已深度融入使用体验。正因如此，企业必须重视浏览器已成为黑客眼中极具价值的攻击目标这一现实。

据IT之家了解，微软列出了多种常见威胁类型：

网络钓鱼与社会工程2.0：仿冒正规网站、弹窗、深度伪造、二维码等手段仍很常见。

恶意OAuth应用与同意钓鱼：攻击者利用合法验证流程非法获取访问权限，这种风险常被低估。

会话劫持与令牌窃取：涉及弱密码、脆弱的多因素认证、忽略警告或管理不善的Cookie。

零日漏洞、沙盒逃逸与引擎漏洞：高级恶意软件可能突破隔离机制，直接控制系统。

恶意扩展与插件：部分扩展会在用户不知情的情况下窃取敏感数据。

规避与数据走私攻击：攻击者利用网络层检测与浏览器呈现内容间的差异，通过混淆、碎片化传输或临时域名绕过安全过滤。

“浏览器中间人”攻击：通过键盘记录、凭证窃取或会话劫持窃取信息。

点击劫持与界面欺骗：利用透明覆盖层诱导用户误点。

供应链漏洞与受信组件被篡改：受损的第三方库、网页资源、扩展商店或证书被滥用。

高权限API与用户数据泄露：浏览器开放的强大接口也可能被黑客利用。

集成AI的浏览器风险：提示注入、上下文泄露及数据外泄正成为新的攻击方向。

微软警告称，尽管浏览器使用量持续上升，但安全防护机制明显滞后。随着企业在更多业务场景中依赖浏览器，安全问题必须提升到战略高度。

参考

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com