国外网站Bink.nu宣称在微软的IE浏览器上又存在着新的安全隐患,并宣布解决问题的方法是使用Mozilla或Mozilla Firebird来代替IE。
Bink.nu所指的IE漏洞有四个,分别是:
1、BackToFramedJPU跨网域策略漏洞:
微软IE浏览器的Sub-Frames上存在着一个安全漏洞,攻击者可以利用这一漏洞来强行破坏跨网域策略。这个漏洞可以允许脚本代码访问其他网域的属性或在本地区域的主题代码中执行。如果联合其他漏洞进行攻击,这个漏洞将允许攻击者在脆弱系统上执行可执行的恶意文件。
2、MHTML重新定向本地文件分析漏洞:
这个漏洞将允许攻击者分析系统上的本地文件。Symantec已证实该问题影响到了IE 5.0以及研究人员测试的其他版本的IE。
3、MHTML强制文件运行漏洞:
研究人员在IE浏览器上发现了这样一个漏洞:当处理MHTML文件及URI时可能导致某个文件被意外地下载并执行。会出现这个问题主要是由于浏览器无法安全地处理同两个文件相关的MHTML文件,其中第一个指向了一个并不存在的资源。结果,脆弱的浏览器用户可能会在无意中访问恶意站点上的某个页面,从中加载一个嵌入式对象。那么,攻击者制作的代码将可以在“Internet区域”中运行。
攻击者也可以联合其他IE漏洞利用上述安全缺陷,达到在“本地区域”内执行任意代码的目的。
4、“危险区域”:
IE系列浏览器中的“可信任站点”区域的缺省设置为“低”。这意味着IE提供了最低限度的安全防护和提醒功能。如此一来,IE将会在没有提供任何提醒的情况下运行互联网上的很多内容。(罗山伯编译 )