IE 11瀏覽器被爆安全漏洞:可遠程竊取本地PC文件
2019年04月14日08:00

  來源:cnBeta

  近日安全專家在IE 11瀏覽器上發現了全新漏洞,在處理.MHT已保存頁面的時候能夠讓駭客竊取PC上的文件。更為重要的是.MHT文件格式的預設處理應用程式是IE 11瀏覽器,因此即使將Chrome作為預設網頁瀏覽器這個尚未修復的漏洞依然有效。該漏洞是由John Page率先發現的,只需要用戶雙擊.MHT文件IE瀏覽器中存在的XXE(XML eXternal Entity)漏洞可以繞過IE瀏覽器的保護來激活ActiveX模塊。

  研究人員表示:“通常情況下,在IE瀏覽器中實例化‘Microsoft.XMLHTTP’這樣的ActiveX對象的時候會跳出安全警示欄,以提示啟用了被阻止的內容。但是使用惡意的標記來打開特製的.MHT文件時候,用戶將不會收到此類活動內容或安全欄警告。”

  該漏洞是釣魚網絡攻擊的理想選擇,通過電子郵件或者社交網絡傳播後可以讓惡意攻擊者竊取文件或者信息。Page表示:“這允許遠程攻擊者竊取本地文件,並且對已經感染的設備進行遠程偵查。”不幸的是,目前微軟還沒有計劃解決這個問題,微軟反饋稱:“我們確定在此產品或服務的未來版本中將考慮修復此問題。目前,我們不會持續更新此問題的修復程式狀態,我們已關閉此案例。”

  據悉該漏洞適用於Windows 7/8.1/10系統。在微軟正式修復IE 11瀏覽器上的漏洞之前,推薦用戶尤其是企業用戶儘量減少通過IE 11瀏覽器下載和點擊不明文件。

關注我們Facebook專頁
    相關新聞
      更多瀏覽