時間:2019-04-13 來源:互聯網 瀏覽量:
4月13日消息 據ZDNet報道,安全研究人員發布了一份Internet Explorer(IE瀏覽器)零日漏洞的詳細信息和概念驗證代碼。通過這一漏洞,黑客可以竊取Windows係統中的文件。
這一漏洞可以在用戶打開.mht文件時發動攻擊。MHT即MHTML Web Archive,是IE瀏覽器默認使用的保存網頁的方式。
這一方式主要對和IE瀏覽器相關,因為較新型的瀏覽器已經不再以MHT格式保存網頁,而是使用HTML格式,不過它們仍然支持處理MHT文件。
在Windows上,MHT文件在IE瀏覽器中是默認自動設置為打開的,同時IE也是MHT文件的默認打開程序,黑客要利用此漏洞會非常簡單。他們隻要通過電子郵件、即時消息等方式分發MHT文件即可。
安全研究員John Page稱,這一漏洞可能“導致本地文件暴露”,攻擊者也可以遠程偵察“安裝在本地的程序版本信息”。他表示,這一頁麵還可以自動化執行。
微軟於3月27日對此問題發布了公告,並於4月10日發給研究人員的消息中稱“考慮在未來的產品或服務中對此進行修複”。微軟也表示,不應輕視這個漏洞,已有網絡犯罪團體在過去幾年中,利用MHT文件進行網絡釣魚和惡意軟件分發。