安全研究員 John Page 發(fā)現(xiàn)了一個IE漏洞,它允許黑客利用竊取Windows用戶的數(shù)據(jù)���。
根據(jù)ZDNet的介紹�����,這是一個XXE(XML外部實體)漏洞���,如果用戶打開了黑客特制的.MHT格式文件��,遠程攻擊者就可以獲取用戶本地文件����,并執(zhí)行指令探測已安裝應(yīng)用版本信息�,例如`C:\Python27\NEWS.txt`可以返回相關(guān)版本信息。
IE新漏洞允許黑客利用竊取Windows用戶的數(shù)據(jù)
這個漏洞最特別的地方在于它不需要在用戶啟動IE的情況下發(fā)作����,只要受影響的計算機上安裝了IE,那就可以被攻擊�。究其原因,.MHT是IE用于其網(wǎng)絡(luò)存檔的文件格式����,當(dāng)前主流Web瀏覽器幾乎都不支持它,Windows上所有.MHT文件都被默認(rèn)為使用IE打開�,所以用戶只需雙擊Email或聊天消息中接收的文件�����,就會中招�����。
該漏洞影響Windows 7����、10 與 Server 2012 R2����,在研究人員將漏洞報告給微軟后�,對方回復(fù)會在之后的更新中“考慮”將其修復(fù)。很容易理解微軟的做法�����,畢竟IE的Web瀏覽器市場份額現(xiàn)在不到10%���,而且.MHT格式也不是常用類型�����,那么這個漏洞的影響其實并不會很大����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
