信息來源:hackernews
近日安全專家在IE 11瀏覽器上發(fā)現(xiàn)了全新漏洞,在處理.MHT已保存頁面的時候能夠讓黑客竊取PC上的文件。更為重要的是.MHT文件格式的默認處理應(yīng)用程序是IE 11瀏覽器�����,因此即使將Chrome作為默認網(wǎng)頁瀏覽器這個尚未修復(fù)的漏洞依然有效。 該漏洞是由John Page率先發(fā)現(xiàn)的����,只需要用戶雙擊.MHT文件IE瀏覽器中存在的XXE (XML eXternal Entity)漏洞可以繞過IE瀏覽器的保護來激活A(yù)ctiveX模塊���。
研究人員表示:“通常情況下,在IE瀏覽器中實例化‘Microsoft.XMLHTTP’這樣的ActiveX對象的時候會跳出安全警示欄��,以提示啟用了被阻止的內(nèi)容����。但是使用惡意的<xml>標記來打開特制的.MHT文件時候,用戶將不會收到此類活動內(nèi)容或安全欄警告�。”
該漏洞是釣魚網(wǎng)絡(luò)攻擊的理想選擇��,通過電子郵件或者社交網(wǎng)絡(luò)傳播后可以讓惡意攻擊者竊取文件或者信息�。Page表示:“這允許遠程攻擊者竊取本地文件���,并且對已經(jīng)感染的設(shè)備進行遠程偵查�����?�!辈恍业氖?,目前微軟還沒有計劃解決這個問題�,微軟反饋稱:“我們確定在此產(chǎn)品或服務(wù)的未來版本中將考慮修復(fù)此問題�。目前�����,我們不會持續(xù)更新此問題的修復(fù)程序狀態(tài)�,我們已關(guān)閉此案例?�!?
據(jù)悉該漏洞適用于Windows 7/8.1/10系統(tǒng)���。在微軟正式修復(fù)IE 11瀏覽器上的漏洞之前�����,推薦用戶尤其是企業(yè)用戶盡量減少通過IE 11瀏覽器下載和點擊不明文件�。
