微软公司欲修补IE浏览器“下载警告”漏洞

【eNews消息】微软公司已经表示,它会采取“适当的措施”去修补IE浏览器和Windows XP SP2中存在的一个能够使恶意网站在下载可能有害的内容时绕开浏览器的警告机制的漏洞。

这一漏洞的首次发现是在11月15日由安全厂商Finjan公司向微软公司报告的。当时,微软公司说Finjan公司的安全公告是“误导性的,很可能是错误的”。但法国网站K-otik于当地时间本周一发布了利用这一漏洞的样例代码。微软公司的一位代表于本周二表示,微软公司仍然认为Finjan公司的安全公告是误导性的,理由是在恶意代码执行前,需要大量的用户交互。然而,这一全球软件巨头也承认绕过IE浏览器中的警告机制是可能的━━甚至就是在使用Windows XP SP2时也有可能。

微软公司的这位代表还表示,微软公司正在对绕过IE浏览器下载警告机制的方法进行调查之中,我们会采取适当的措施解决这一问题的。他承认,如果文件被保存在这一“启动”文件夹中,在下次用户重新启动他们的计算机时,它就会自动执行。他表示,如果黑客试图将恶意可执行文件保存到Windows的“启动”文件夹中,用户就必须打开包含有这一可执行文件的文件夹,并选择运行它,或者退出,接着再进行登录他们的计算机。然而这一代表也表示,存在的这一漏洞不能算是一个安全方面的漏洞,实质上来看,它只不过是社会工程学的一个聪明运用。他表示,需要指出来的重要的一点是,这不是利用安全漏洞的样例代码,而只是黑客利用社会工程学,诱骗用户在没有首先收到IE浏览器下载警告的情况下在硬盘上保存可执行文件。但安全专家对微软公司的的这一观点表示怀疑。据反病毒厂商Sophos澳大利亚分公司的高级技术顾问肖恩表示,这一样例代码确实需要一些用户交互,但它的确绕过了IE浏览器和SP2中的安全功能。他表示,它绕过了IE浏览器中的对话框,将导致恶意文件被保存在用户的计算机上。一旦文件被保存在计算机的“启动”文件夹中,情况就会更加不妙了。

据一位从事信息安全工作20年左右的专业人士理查德表示,应当运用法律手段迫使微软公司以及其它的软件开发商们去改进它们的代码,并为那些因它们软件质量而受到了经济损失的客户作出赔偿。

Published At
Categories with 网络技术
comments powered by Disqus