丹麦Secunia等于8月19日公开了在Internet Explorer(IE)中发现的新安全漏洞。如果用户在做过手脚的Web网站上进行鼠标操作,就会把互联网上的任意文件(比如病毒)下载到个人电脑上,下载时不会出现任何提示对话框等。目前补丁尚未公开,对策是将活动脚本设为无效等。
安全漏洞由“http-equiv”发现。在对其投至安全相关邮件列表的稿件进行检测后,Secunia在自己的网站上公开了此次的漏洞。
导致此次安全漏洞的原因在于:IE没有仔细检查进行拖放等操作时产生的DHTML(动态HTML)事件。因此,如果在做过手脚的Web网站上进行拖放与点击等鼠标操作,不向用户发出任何警告就能把任意文件下载到个人电脑上。由于这时可由攻击者指定下载方,因此可把下载内容下载到启动文件夹中。
http-equiv公开的示范网站。拖放Web网页上的图像后,没有发出警告就将放置在网站上的“无害”可执行文件下载到了启动文件夹中。重新启动个人电脑之后,就会自动运行这一文件。虽然在这个演示中不进行拖放操作就不会下载,但如果突破这一安全漏洞,单击就可能下载。
此次的安全漏洞可以称为微软2003年11月公开的“Internet Explorer 的累积性安全更新(824145)(MS03-048)”中包含的“拖放操作有关的漏洞”的“变种”,用户受害的过程与影响大小是一样的。
只要用户没有任何动作,就不会下载文件。但哪怕是“点击链接”的动作都可能下载文件,因此属于非常危险的安全漏洞。而微软将“拖放操作有关的漏洞”的严重等级设为第二严重的“重要”。
目前美国微软尚未公开安全信息与补丁等。Secunia提出的对策是将活动脚本设置为无效,或使用其他浏览器。当然,坚守安全对策“不靠近可疑Web网页”也是非常重要的。
------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------
