近日,一位安全专家和一间杀毒软件公司一起向微软发出警告,声称在IE中新发现一个尚未打上补丁的漏洞,它允许远程黑客绕过安全警告,下载恶意内容到受感染系统上。
这个漏洞会影响装上Windows XP Service Pack 2和IE的Windows系统,它允许恶意黑客利用特殊的HIML Web文档绕过一个专门用来通知用户有文件正在传送到计算机上的安全警告。现时,微软官员还没有对此漏洞发出任何评论。
今日,安全公司Symantec也对该漏洞发出了警告,并提供证实漏洞存在的相关代码。公司描述到,IE内含有一个截取文件下载引用的功能——"onclick",它不会对特殊的HTML事件进行检测,并可跟普通的 HTML Body标记一起使用。当恶意用户结合使用"onclick"和"createElement"事件时(createElement用于创建IFrame 或"inline frame",允许外部对象插入到另一个HTML文档 ),就能够把IFrame链接到一个恶意页面,并下载恶意文件到用户电脑上。
安全公司Symantec补充,现时还没有这个新漏洞的相关补丁,也没有利用该漏洞的特殊代码。IE用户要避免点击一些不明或不信任网站,屏蔽浏览器执行脚本代码和Actice控件的功能。
