发表时间: 2004-01-29 06:18:00作者:
一家丹麦的安全服务公司Secunia发出警告称,微软IE浏览器中的一个新的安全漏洞能够欺骗网络浏览者下载恶意文件。Secunia公布了这个安全漏洞细节,声称这个安全漏洞可以同该公司以前发现的“欺骗”安全漏洞一起被使用。
微软的代表没有立即对这个消息发表评论。这个新的安全漏洞能够让恶意网站的拥有者故意错误地识别可下载文件。这样,一个恶意程序文件表面上看就像是一个安全的文件。例如,访问者可能误以为一个PDF文件是可以下载的,但是,实际上却下载了一个诸如最新的“MyDoom”蠕虫之类的能够自己执行的恶意程序。
微软的代表没有立即对这个消息发表评论。这个新的安全漏洞能够让恶意网站的拥有者故意错误地识别可下载文件。这样,一个恶意程序文件表面上看就像是一个安全的文件。例如,访问者可能误以为一个PDF文件是可以下载的,但是,实际上却下载了一个诸如最新的“MyDoom”蠕虫之类的能够自己执行的恶意程序。
Secunia公司的安全公告包括一个在线测试,演示这个安全漏洞是如何被利用的。Secunia表示,它在目前版本的IE 6中发现了这个安全漏洞,不过以前版本的IE浏览器软件也会受到这个安全漏洞的影响。Secunia公司代表没有立即对这个消息发表评论。
这个新的安全漏洞如果与Secunia上个月发现的一个安全漏洞配合起来利用是特别有效的。那个安全漏洞能够让网站拥有者通过在IE浏览器地址栏和状态工具条中显示虚假的地址来隐藏自己的身份。
微软到目前为止还没有为那个安全漏洞发布补丁,不过,微软发布了一个公告,提供了避开这种“欺骗”网站的方法。其中一种方法是避免点击超链接。微软警告说,不要点击超链接,而是要自己在地址栏中输入要访问的地址。
微软迟迟不解决这个问题受到了一些安全专家的批评,并且导致一个开源软件编程组织为这个安全漏洞制作了一个补丁。
微软去年制定了修复安全漏洞的新政策,决定每个月集中发布一次补丁,修复一批安全漏洞,而不是零碎地发布补丁。
赛迪网