近日,美国计算机应急响应小组(Computer Emergency Readiness Team,简称CERT)公布了微软IE浏览器中存在的一个最新漏洞,目前这一漏洞还没有完善的解决方案,用户即使采取了一定的保护措施仍然不能完全避免该漏洞所带来的危险。
利用这一漏洞,入侵者可以欺骗IE浏览器中的InfoTech Storage(ITS)协议处理器,使之从其它域获取脚本,并获得同目标计算机上本地区域相同的权限。CERT指出,入侵者在访问某一网站时通过使用一个特殊的URL地址就可以执行上述脚本,从而获得他人的信用卡信息甚至是造成整个网络瘫痪。
这一漏洞的工作原理如下:IE浏览器通过ITS或者MHtml协议来标识一个不能访问或是不存在的MHTML文件;当IE浏览器没有发现编译完成的HTML帮助文件(CHM)时,ITS协议处理器就可能会受到欺骗从而访问来自其它域的CHM文件。此时入侵者就可以通过对CHM文件进行精心设计,使之包含可以从其它域执行的脚本,从而交叉域安全模式也就被入侵者攻破了。
通常情况下,如果IE浏览器存在漏洞,用户可以选择使用Opera或是Netscape等浏览器直至相关补丁推出,但CERT指出这次的漏洞却不能通过这种方法解决。因为此次的漏洞不仅仅存在于IE浏览器,同时也会影响到所有使用WebBrowser ActiveX控件或MSHTML的应用程序,如Outlook以及Outlook EXPress。
CERT同时称,甚至禁用Active脚本以及ActiveX控件都不能规避所有的危险,而是仅仅能减少受到几种特定类型攻击的可能。对于普通用户和网络管理员来说,解决这一问题较好的方法是访问注册表中“HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler”项,禁用“ms-its,”、“msitss,”以及“its,mk”键值。
通常,人们都认为安全机构不应当在软件开放商推出补丁之前公布漏洞细节,但这次美国CERT的做法事出有因:其一是目前互联网上已经出现利用这一IE最新漏洞的木马病毒,另一方面是因为微软在解决类似漏洞的过程中行动过于迟缓。CERT在建议中指出,互联网用户近一段时间应当尽量避免点击在电子邮件、即时信息、网络论坛以及IRC聊天室中出现的陌生URL链接。
微软计划在下周二(美国当地时间)发布每月例行安全更新,目前该公司发言人还没有明确表示届时是否会发布针对这一IE漏洞的补丁,或者今年8月发布的一个用于解决类似漏洞的补丁是否会对这一最新漏洞生效。
(出处:http://www.sheup.com)