千龙网讯 7月13日,我国著名反病毒厂商江民科技反病毒专家监测到,IE文件下载窗口存在文件名称和文名类型欺骗漏洞,利用该漏洞,黑客可以为一个文件下载链接写一段脚本程序,使得该链接被点击时,IE会自动显示一个无边框的弹出窗口,恰好遮住“文件下载”对话框上有关要下载的文件名称和类型等信息。用户看到的文件名和类型将是弹出窗口上的任意信息,有可能被假相欺骗,下载并运行恶意程序。
江民反病毒专家还列举了一个利用该漏洞的具体实例。
用户点击了某个链接,IE弹出了“文件下载”对话框,如图1:
图1
根据对话框显示,即将被下载的文件是sexycoeds.jpg,文件类型是JPEG图片。JPEG图片是安全的,所以用户很可能继续点击“打开”或“保存”按钮,如果这样就中招了。
此时把“文件下载”窗口拖拽到另一个位置,恶意代码的险恶用心就一目了然了。
图2
从图2可以清楚的看到,文件名称sexycoeds.jpg和文件类型JPEG image都是假的,它们是一个弹出窗口(已用红色标记)上的文本,而真正的文件名和文件类型信息被这个弹出窗口遮盖了,现在才露了出来。要是刚才点击了“打开”或“保存”按钮,用户现在已经把badfile.exe这个程序下载到自己的机器上了。
反病毒专家提醒,该欺骗漏洞的迷惑性相当大,但根据上文的演示,要防范它也不难,只需要在确定下载前先移动一下“文件下载”窗口,很容易看出恶意脚本的破绽。
江民公司提醒广大用户,对于该漏洞,微软尚无任何修复或补丁程序。在上网时一定要提高警惕,开启KV的七套实时监控,保护您的系统不受恶意程序的侵害。
来源: 千龙科技