据外电报道,微软已承认错误,决定发布一款补丁修补IE7上一个容易导致用户遭受攻击的漏洞。 微软Windows安全团队在公司博客上解释说,该系统漏洞源于IE7在Windows XP和Server 2003环境下处理统一资源标识符(URI)的方式。URI是一个地址的开头,用于指定使用哪个程序来运行文件或链接。例如,一个地址以 “mailto:”开头地址可以启动一个电子邮件客户端;用户点击URI链接后,Windows会调用ShellExecute函数来运行URI指令。 几个月前,研究人员首次发现攻击者可以通过IE启动Firefox进而劫持用户的电脑,对此微软迟迟不肯承认这是它的责任,称此问题应该由第三方应用程序负责。后来 Mozilla修复了Firefox,此事暂时告一段落。但不久又有安全研究人员发现此问题实际上是由URI协议的处理方式造成的,并波及许多第三方应用程序。 IE较早的版本一般会自行检查URI,如果链接中包含非标准的地址格式,那么这个链接就不会得到执行。但是,安全专家称,IE最新的版本允许执行非标准化的链接,结果就给那些恶意程序打开了方便之门,一些恶意程序可以潜藏在链接程序中得到执行。 Windows安全专家称Vista系统不存在这个安全隐患,因为它里面的一个安全插件可以阻止系统运行URI,从而保护Vista系统下的IE7免受攻击,但是XP和2003系统中并没有安装这种安全插件。 微软表示将推出一款补丁来修复这一漏洞。不过它并没有说明具体何时发布最新的补丁程序,只是建议研究人员目前先自行采取措施,以保证系统安全。 |
