【日经BP社报道】丹麦Secunia于当地时间11月26日公布了Internet Explorer(IE)的安全漏洞。恶意利用该安全漏洞,可将危险文件伪装成图像文件诱使用户下载。事实上这种文件已经出现。Windows XP SP2也受该漏洞影响。尚未公开补丁。应对措施是将“隐藏已知文件类型的扩展名”设为无效。
此次发现的安全漏洞的起因于当于Web网页中保存图像文件时,有时IE会擅自去除文件扩展名。具体在右键点击鼠标网页图像并选择“图片另存为”命令保存该图像时发生。当鼠标指定的图像文件名含有多个扩展名时,IE将去除最后面的扩展名后保存。
例如,如果图像文件名为“malicious.hta.jpg”,将保存为“malicious.hta”。如果malicious.hta.jpg中含有恶意脚本代码,当用户执行保存为malicious.hta的文件(打开)时,Windows将该文件解释为HTML应用软件(.hta)从而执行其中的代码。换句话说,恶意网站管理员可诱使用户用任意扩展名保存含有恶意脚本代码的图像文件。
应对措施是在“工具”菜单“文件夹选项”设置中的“隐藏已知文件类型的扩展名”设为无效。缺省设为有效。
将“隐藏已知文件类型的扩展名”设为无效(钩掉),并不仅仅有助于对付此次发现的安全漏洞。过去就曾多次收到恶意利用该“功能”的方法。