不少人戏称 Windows 预设浏览器 Internet Explorer 最大的功用就是下载 Chrome,但大家也要注意 IE 的安全。最近有专家发现一个 IE 漏洞,基本上只要 IE 有在电脑里,就有机会中招。
虽然安装新浏览器后,大部分人都不会将 IE 设为预设浏览器,但 IE 仍是预设开启“网络封存档案”MHT 的预设程式,故不法分子仍可藉 IE 处理 MHT 档案的漏洞入侵电脑。
资安人员 John Page 指出,IE 开启 MHT 档案时可遭受 XML External Entity(XXE)攻击,容许骇客窃取档案资料,以及对本机程式的版本资讯远端侦测。因此,只要骇客透过电邮或讯息传送特制 MHT 档案,受害人便很有机会使用 IE 打开档案,进而中招。John Page 又指,当用户使用复制分页的快捷键 Ctrl+K,或者透过右键使用预览打印和打印功能时,也有可能触及 XXE 漏洞。
John Page 补充,漏洞已在 Windows 7、10 和 Server 2012 R2 的最新版 IE 11 验证过可行。漏洞公开前已于 3 月通报微软(Microsoft),微软表示会修补问题。
(本文由 Unwire HK 授权转载;首图来源:shutterstock)
