賽迪網(wǎng) 文/劉彥青

安全研究人員本周四警告稱，微軟IE瀏覽器拖放功能中的一個安全缺陷可能使數(shù)以百萬計(jì)的網(wǎng)民面臨受到黑客攻擊的危險(xiǎn)。

據(jù)Secunia稱，這一缺陷影響在已經(jīng)安裝SP1或SP2的Windows XP系統(tǒng)上運(yùn)行的IE 5.01、5.5、6.0版本。Secunia對該缺陷的危險(xiǎn)程度評級為“高危”，并建議用戶禁用IE瀏覽器中的“活動腳本”功能。 Secunia稱，這一缺陷是由從互聯(lián)網(wǎng)域向本地資源發(fā)出的拖放事件的不充分驗(yàn)證造成的。黑客能夠在用戶的“啟動”文件夾中安置有危害的可執(zhí)行文件，當(dāng)Windows下次啟動時(shí)，該文件就會執(zhí)行。

發(fā)現(xiàn)該缺陷的、代號為http-equiv的安全研究人員已經(jīng)發(fā)布了一種概念證明型攻擊的代碼，當(dāng)用戶播放偽裝成一個圖像文件的惡意文件時(shí)，就會在用戶的“啟動”文件夾中植入代碼。

Secunia公司警告說，盡管這一概念證明型攻擊代碼需要用戶執(zhí)行拖放事件，但它可能被重寫為利用鼠標(biāo)單擊事件發(fā)動攻擊。

這一缺陷與中國的安全研究人員劉迭玉(音譯)去年11月份發(fā)現(xiàn)的一個缺陷非常相似。這些缺陷使得用戶面臨系統(tǒng)被非法訪問、泄露機(jī)密資料等危險(xiǎn)。