萬盛學電腦網 >> 應用技巧 >> IE浏覽器又發現致命漏洞 目前尚無解決方案
IE浏覽器又發現致命漏洞 目前尚無解決方案
利用這一漏洞,入侵者可以欺騙IE浏覽器中的InfoTech Storage(ITS)協議處理器,使之從其它域獲取腳本,並獲得同目標計算機上本地區域相同的權限。CERT指出,入侵者在訪問某一網站時通過使用一個特殊的URL地址就可以執行上述腳本,從而獲得他人的信用卡信息甚至是造成整個網絡癱瘓。
這一漏洞的工作原理如下:IE浏覽器通過ITS或者MHTML協議來標識一個不能訪問或是不存在的Mhtml文件;當IE浏覽器沒有發現編譯完成的HTML幫助文件(CHM)時,ITS協議處理器就可能會受到欺騙從而訪問來自其它域的chm文件。此時入侵者就可以通過對CHM文件進行精心設計,使之包含可以從其它域執行的腳本,從而交叉域安全模式也就被入侵者攻破了。
通常情況下,如果IE浏覽器存在漏洞,用戶可以選擇使用Opera或是Netscape等浏覽器直至相關補丁推出,但CERT指出這次的漏洞卻不能通過這種方法解決。因為此次的漏洞不僅僅存在於IE浏覽器,同時也會影響到所有使用WebBrowser ActiveX控件或MSHTML的應用程序,如Outlook以及Outlook Express。
CERT同時稱,甚至禁用Active腳本以及ActiveX控件都不能規避所有的危險,而是僅僅能減少受到幾種特定類型攻擊的可能。對於普通用戶和網絡管理員來說,解決這一問題較好的方法是訪問注冊表中“HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler”項,禁用“ms-its,”、“msitss,”以及“its,mk”鍵值。
通常,人們都認為安全機構不應當在軟件開放商推出補丁之前公布漏洞細節,但這次美國CERT的做法事出有因:其一是目前互聯網上已經出現利用這一IE最新漏洞的木馬病毒,另一方面是因為微軟在解決類似漏洞的過程中行動過於遲緩。CERT在建議中指出,互聯網用戶近一段時間應當盡量避免點擊在電子郵件、即時信息、網絡論壇以及IRC聊天室中出現的陌生URL鏈接。
微軟計劃在下周二(美國當地時間)發布每月例行安全更新,目前該公司發言人還沒有明確表示屆時是否會發布針對這一IE漏洞的補丁,或者今年8月發布的一個用於解決類似漏洞的補丁是否會對這一最新漏洞生效。
應用技巧排行
電腦基礎推薦
相關文章
copyright © 萬盛學電腦網 all rights reserved