研究人员发现IE浏览器新的安全漏洞 不过微软似乎并不急于修复
日前国外安全研究人员在IE浏览器里发现某个安全漏洞 , 该漏洞主要可被攻击者用来窃取文件或本地信息等。
据研究人员介绍IE浏览器是MHT文件的默认打开程序,因此即便用户使用的是其他浏览器也可能无意间中招。
MHT是IE浏览器用来下载和离线保存文件时使用的格式,既可以用来保存网页内容也可以用来保存电子邮件。
利用XXE漏洞绕过ActiveX模块激活保护:
研究人员发现IE浏览器的XXE模块中存在漏洞可以使用XML绕过IE浏览器防止激活ActiveX控件模块安全防护。
通常情况下如果要激活ActiveX控件对象IE浏览器会在地址栏显示提示,然后必须用户手动点击允许才可执行。
而借助漏洞攻击者只需要诱骗用户双击打开MHT文件即可,打开后本地文件和相关程序版本信息等会被泄露。
看起来微软并不急着修复:
此漏洞在提交给微软后已经获得微软的确认,微软表示会在未来的版本里考虑调整策略将这个利用方式封堵。
不过微软也表示当前并不会持续更新这个问题的修复程序状态,因此已经关闭研究人员提交的漏洞反馈报告。
按微软的说法来看该公司应该是认为此漏洞比较轻微,毕竟漏洞只能窃取极其有限的信息不会构成严重威胁。
微软的这种做法在以前也出现过多次,对于比较轻微或者逻辑上存在的钓鱼攻击通常会忽略或者降低优先级。
研究人员称鉴于此攻击方式无差别影响所有浏览器(主要MHT默认IE打开),所以建议用户不要点击默认文件。