安全研究員 John Page 發現了一個 IE 漏洞,它允許黑客利用竊取 Windows 用戶的數據。
根據 ZDNet 的介紹,這是一個 XXE(XML 外部實體)漏洞,如果用戶打開了黑客特制的 .MHT 格式文件,遠程攻擊者就可以獲取用戶本地文件,并執行指令探測已安裝應用版本信息,例如`C:\Python27\NEWS.txt`可以返回相關版本信息。
這個漏洞最特别的地方在于它不需要在用戶啟動 IE 的情況下發作,隻要受影響的計算機上安裝了 IE,那就可以被攻擊。究其原因,.MHT 是 IE 用于其網絡存檔的文件格式,當前主流 Web 浏覽器幾乎都不支持它,Windows 上所有 .MHT 文件都被默認為使用 IE 打開,所以用戶隻需雙擊 Email 或聊天消息中接收的文件,就會中招。
該漏洞影響 Windows 7、10 與 Server 2012 R2,在研究人員将漏洞報告給微軟後,對方回複會在之後的更新中“考慮”将其修複。很容易理解微軟的做法,畢竟 IE 的 Web 浏覽器市場份額現在不到 10%,而且 .MHT 格式也不是常用類型,那麼這個漏洞的影響其實并不會很大。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
