賽迪網(wǎng) 文/劉彥青

安全研究人員本周四警告稱(chēng)，微軟IE瀏覽器拖放功能中的一個(gè)安全缺陷可能使數(shù)以百萬(wàn)計(jì)的網(wǎng)民面臨受到黑客攻擊的危險(xiǎn)。

據(jù)Secunia稱(chēng)，這一缺陷影響在已經(jīng)安裝SP1或SP2的Windows XP系統(tǒng)上運(yùn)行的IE 5.01、5.5、6.0版本。Secunia對(duì)該缺陷的危險(xiǎn)程度評(píng)級(jí)為“高危”，并建議用戶(hù)禁用IE瀏覽器中的“活動(dòng)腳本”功能。 Secunia稱(chēng)，這一缺陷是由從互聯(lián)網(wǎng)域向本地資源發(fā)出的拖放事件的不充分驗(yàn)證造成的。黑客能夠在用戶(hù)的“啟動(dòng)”文件夾中安置有危害的可執(zhí)行文件，當(dāng)Windows下次啟動(dòng)時(shí)，該文件就會(huì)執(zhí)行。

發(fā)現(xiàn)該缺陷的、代號(hào)為http-equiv的安全研究人員已經(jīng)發(fā)布了一種概念證明型攻擊的代碼，當(dāng)用戶(hù)播放偽裝成一個(gè)圖像文件的惡意文件時(shí)，就會(huì)在用戶(hù)的“啟動(dòng)”文件夾中植入代碼。

Secunia公司警告說(shuō)，盡管這一概念證明型攻擊代碼需要用戶(hù)執(zhí)行拖放事件，但它可能被重寫(xiě)為利用鼠標(biāo)單擊事件發(fā)動(dòng)攻擊。

這一缺陷與中國(guó)的安全研究人員劉迭玉(音譯)去年11月份發(fā)現(xiàn)的一個(gè)缺陷非常相似。這些缺陷使得用戶(hù)面臨系統(tǒng)被非法訪問(wèn)、泄露機(jī)密資料等危險(xiǎn)。