發表時間: 2004-01-29 06:18:00作者:
一家丹麥的安全服務公司Secunia發出警告稱,微軟IE瀏覽器中的一個新的安全漏洞能夠欺騙網路瀏覽者下載惡意文件。Secunia公布了這個安全漏洞細節,聲稱這個安全漏洞可以同該公司以前發現的「欺騙」安全漏洞一起被使用。
微軟的代表沒有立即對這個消息發表評論。這個新的安全漏洞能夠讓惡意網站的擁有者故意錯誤地識別可下載文件。這樣,一個惡意程序文件表面上看就像是一個安全的文件。例如,訪問者可能誤以為一個PDF文件是可以下載的,但是,實際上卻下載了一個諸如最新的「MyDoom」蠕蟲之類的能夠自己執行的惡意程序。
微軟的代表沒有立即對這個消息發表評論。這個新的安全漏洞能夠讓惡意網站的擁有者故意錯誤地識別可下載文件。這樣,一個惡意程序文件表面上看就像是一個安全的文件。例如,訪問者可能誤以為一個PDF文件是可以下載的,但是,實際上卻下載了一個諸如最新的「MyDoom」蠕蟲之類的能夠自己執行的惡意程序。
Secunia公司的安全公告包括一個在線測試,演示這個安全漏洞是如何被利用的。Secunia表示,它在目前版本的IE 6中發現了這個安全漏洞,不過以前版本的IE瀏覽器軟體也會受到這個安全漏洞的影響。Secunia公司代表沒有立即對這個消息發表評論。
這個新的安全漏洞如果與Secunia上個月發現的一個安全漏洞配合起來利用是特別有效的。那個安全漏洞能夠讓網站擁有者通過在IE瀏覽器地址欄和狀態工具條中顯示虛假的地址來隱藏自己的身份。
微軟到目前為止還沒有為那個安全漏洞發布補丁,不過,微軟發布了一個公告,提供了避開這種「欺騙」網站的方法。其中一種方法是避免點擊超鏈接。微軟警告說,不要點擊超鏈接,而是要自己在地址欄中輸入要訪問的地址。
微軟遲遲不解決這個問題受到了一些安全專家的批評,並且導致一個開源軟體編程組織為這個安全漏洞製作了一個補丁。
微軟去年制定了修復安全漏洞的新政策,決定每個月集中發布一次補丁,修復一批安全漏洞,而不是零碎地發布補丁。
賽迪網