安全警报又拉响了!安全研究员们在微软公司的IE浏览器及开源的Mozilla浏览器中又发现了一系列不相干高风险的缺陷。
根据Secunia的报告,怀有恶意的黑客们可能利用IE最严重的缺陷来攻击用户的电脑,交换不同网站或区域中的脚本代码以及绕开Windows XP SP2的一个安全防范。
Secunia认为IE的这个缺陷是"至关重要的",并且建议用户选择另外的浏览器除非微软发行一个更全面的补丁程序。
微软自己已经证实正在研究IE中一个"点击及滚动"的问题,并且公布了一个临时的工作区以便用户避开这个缺陷。
在一篇知识性文章中,微软公司说黑客们可能利用这个bug在用户访问某个网站的时候,在用户的电脑上放置恶意的文件。
微软建议用户立即安装IE的所有最新修复程序并禁止从另一个域中"拖拉并放下"或"复制并粘贴"选项。
这个缺陷的起源是由于对将包含内嵌html代码的有效图像互或多媒体文件从"Internet"域拖放到本地时没有做足够的验证。Secunia说有恶意的网站可以利用这个漏洞将任意的HTML文档放置到用户的系统中,这就使得可在"本地电脑"区域中执行任意的脚本代码。
但是在Windows XP SP2中不允许在"本地电脑"区域中执行活动的脚本程序。
IE另一个未经修复的缺陷就是允许一个恶意网站上的内嵌HTML帮助控件执行本地的HTML文件或是在本地机上下载任意的脚本程序。
"当用户浏览网站时,在用户的浏览器会话中执行任意html 或脚本代码,或是在"本地电脑"区域中通过HTML帮助控件获取特定的参数而执行一个本地程序,这两种方式都可以成功地攻击用户的电脑。"Secunia在报告中写道。
第三个缺陷存在于处理内嵌的Html帮助控件中的"相关主题"命令。Secunia说黑客可以利用这个bug在任意的区域或网站中发布有害的脚本代码。
该公司在网上公布了一个在线攻击测试向用户展示这些缺陷。
紧随着Mozilla,Firefox以及Thunderbird等一系列产品的缺陷报告之后的就是IE最新的安全警报。
Mozilla基金会无偿的推出了新的补丁以修复这些漏洞,这些漏洞包括缓冲区溢出以及暴露临时文件等问题。
根据Secunia的报告,当Mozilla及Firefox处理NNTP超连接的时候就可能发生缓冲区溢出的攻击。
Mozilla项目组也修复了在对话框"Firefox应该如何处理这个文件"选项中出现的文件名欺骗问题。
"一个远程攻击可以巧妙的伪装一个NNTP连接并诱惑用户来点击这个连接,结果就导致以运行浏览器的用户的身份执行任何代码。"Secunia在报告中写道。
