IE新漏洞骗用户下载恶意程序 目前尚无补丁
添加时间: 2007-2-10 17:38:29 作者: 第九软件网 阅读次数:52 来源: http://www.d9soft.com
据悉,受该漏洞影响的浏览器为IE6.0,其中包括安装了SP2补丁程序的XP系统。该漏洞允许黑客绕过IE浏览器的安全警告。正常情况下,该安全警告在HTML文件进入系统时会通知用户。
据赛门铁客介绍,当与普通“HTMLBODY”标签结合之后,IE的该项安全警告就不再检测一个被称为“onclick”的HTML事件。因此,黑客只要将“onclick”事件与“createElement”结合之后创建一个“E(允许外部对象插入到另一HTML文档中的HTML要素)”,然后将E链接到一个恶意站点,当用户进入该站点时就会将恶意文件下载到计算机中。此时,IE信息栏不会有任何提示。
据赛门铁客称,目前,尚无任何补丁程序可以修复该漏洞。而且,黑客无需任何特殊代码即可利用该漏洞。
因此,赛门铁客建议用户,尽量避免访问不明来源的链接。同时,IE用户还可以禁用IE的“允许脚本执行”和“允许活动内容在我的计算机上的文件中运行”的功能。
据悉,就在三日前,微软刚刚发布了三款补丁程序,修了IE浏览器所存在的一些危险级别最高的安全漏洞。目前,微软尚未对该漏洞发表任何评论。(T101)
上下文章:
上一篇文章: 最浅显的IE反劫持攻略 下一篇文章: IE被强行整容后的应急方案
相关文章: