微软抛弃了Internet Explorer(以下简称IE)去开发新的edge浏览器。被抛弃的IE却并没有从大家的电脑上离开,这不它又闯祸了:即便你不去主动打开它,也有可能在不经意间将硬盘上的文件泄露给黑客。
安全研究人员在上月27日向微软通报了这个漏洞,涉及从Windows 7、Windows 10和Windows Server 2012 R2操作系统,影响面十分广泛。但可能是微软认为时间上来不及,4月10日的月度更新中并没有修复这个已经公布的漏洞。
由于微软拒绝为修复该漏洞制定具体的时间表,安全研究人员John Page公开了概念验证代码和攻击演示。视频中一个特制的.MHT文件(单个文件的web档案)成为钓鱼的手段,只要双击这个下载到本地的网页文件,Windows会自动利用默认关联的IE浏览器将其打开,此时电脑中的指定文件内容就会被传送到远程的服务器端。
演示使用了C:\Windows\system.ini作为例子,事实上它还可以泄露其他被指定的文件。如通过特定的文件获取到电脑上当前已经安装的某个程序的版本,就可以针对特定版本的软件漏洞作为跳板,加速进行下一步入侵。该漏洞还能禁用IE的安全警报系统,在浏览器运行危险的ActiveX插件时将不会弹出安全警告内容。
根据NetMarketShare的统计,目前IE浏览器的市场占有率已经下跌到7.34%左右。这个IE 0day漏洞的出现所能做的最好贡献,恐怕就是让IE市占率进一步下降。微软还不确定将在何时修复这个漏洞,目前可以通过从系统中卸载IE组件,或者更改.mht扩展名的软件关联来避免受到攻击。
最后还有一个好消息,未来的微软浏览器(edge)可能会比现在安全。因为微软已经在进行Chromium内核的edge浏览器内测。PCEVA小编在前几天尝试了这个内测版本,不过因为老版蜗牛edge留下的糟糕印象,小编总感觉界面与之相似的新edge不够快。你试过新edge浏览器了吗?欢迎分享使用体验。
