美国当地时间1月27日,在Internet Explorer(IE)中发现了可被伪装成下载文件名的安全漏洞。利用此漏洞能够伪装成IE浏览器显示的“下载文件”对话框中的文件名。如果用户根据文件扩展名认为它是安全文件而点击“打开”的话,就有可能运行任意程序,若选择“保存”则不会遭受攻击。
此安全漏洞是有人在安全邮件列表“Bugtrag”上发布的。安全产品开发商“Secunia”于1月28日发表了有关建议。另外,该公司还公开了漏洞演示站点。
演示中使用了名为ie.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}Secunia_Internet_Explorer%2Epdf 的文件。在“下载文件”对话框中,文件名中的“%2E”经解码后(解释为文字代码),显示为“.”。文件名的前半部分省略为“...”。仅由此来看,下载文件像是一个PDF文件。
如果IE浏览器也将“%2E”解释为“.”,并将所下载文件的扩展名判断为“.pdf”,就不会有问题。即使选择“打开”,也只是启动与.pdf关联的应用程序(比如Acrobat Reader),显示文件内容而已。
然而,IE浏览器会将“ie.”后面的内容识别为扩展名,而不是将“%2E”判断为“.”。在演示示例中,IE浏览器将GUID判断成为{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}的文件类型,即“HTML Application”。如果用户点击"打开",就会利用HTML Application关联程序mshta.exe对文件内容进行解释,并加以运行。
如果选择“保存”则没有问题。下载后在电脑上生成文件时"%2E"将被解释为"."。也就是说,在个人电脑上将生成名为ie.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}Secunia_Internet_Explorer.pdf的文件。如果用户双击此文件,“.pdf”关联应用程序就会起动。不过,不会运行文件内容,仅仅只是显示而已。
为了避免此安全漏洞,不管对话框显示的文件名(扩展名)是什么,都不要选择“打开”而要选择“保存”。
尽管如此,尚不清楚从可疑站点上下载的文件中到底含有什么内容。因此用户不要从此类站点上下载文件。即使没有人钻这个安全漏洞的空子,如果文件本身含有恶意,运行后也会带来损失。
在Windows系统中,“外表”已经不可信任。到目前为止已相继发现了可伪装成URL、图标以及此次伪装成文件名的安全漏洞(在图标方面也许称得上是一种伪装标准)。最重要的是不要接触来路不明的文件(从不可靠的Web站点下载的文件及邮件附件等)以及可疑链接(在不可靠的Web页及邮件中书写的链接)。
------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------
