继本周早些时候揭露Windows XP中存在“恶意文件夹”(详见昨天报道)之后,http-equiv又再一次提醒IE 6用户,在微软Internet Explorer浏览器中已证实存在一个新的安全漏洞,它允许恶意网站伪装下载文件的扩展名。
http-equiv发现的问题在于,IE浏览器可能会使用不同于其扩展名所关联的的应用程序打开网站上的文件。恶意网站只要在文件名中嵌入CLSID就可以达到伪装文件扩展名的目的。这一漏洞可以被利用来欺骗用户打开貌似可信,实则带有恶意的文件。
安全公司Secunia近期已在其站点上公布了利用该漏洞的一个实例。Secunia的实例显示,当用户点击某个链接并选择“打开”一个自称是PDF的文件后,IE事实上打开的却是一个HTML可执行文件。
到目前为止还没有成功利用该漏洞造成破坏的案例。然而据信,它将使人们毫无戒备地下载可能极度危险的蠕虫,比如近期肆虐全球的Doom蠕虫。更令人担心的是,恶意网站可能会结合在去年12月份发现的IE“网址欺骗”来利用这一扩展名欺骗漏洞。
微软在一月份发布的安全公告中并不带有IE欺骗漏洞的补丁,这多少使不少人相信灾难将无可避免。目前,应对IE最新漏洞的方法只能是尽可能不要使用“打开”文件的选项,而养成将文件保存到文件夹的习惯。因为这样一来,可疑的文件名就会无所遁形。