已经不用IE浏览器了?很好!但现在是时候将它从计算机中完全删除了。
安全研究员John Page发现了一个新的安全漏洞,黑客可利用IE浏览器窃取Windows用户的数据。最可怕的地方在于:只要Windows用户的电脑上有IE浏览器,用户根本不需要打开它黑客就能利用该漏洞。
该漏洞存在于IE浏览器处理MHT文件的方式中。MHT代表MHTML Web Archive,是用户执行CTRL + S(保存网页)命令时所有IE浏览器保存网页的默认标准。
现代浏览器不再以MHT格式保存网页,而是使用标准的HTML文件格式。但是还是有许多浏览器支持MHT格式。
1
IE 11中的XXE
安全研究员John Page发布了有关IE中的XXE(XML eXternal Entity)漏洞的详细信息,可以在用户打开MHT文件时利用该漏洞。
Page表示:“如果用户在本地打开一个特定的.MHT文件,IE浏览器就会很容易受到XML外部实体的攻击。这可以让远程攻击者潜在地窃取本地文件,并对本地安装的程序版本信息进行远程侦察。”
这意味着黑客可以利用.MHT文件为所欲为,这是IE用于其网络存档的文件格式。鉴于当前的Web浏览器通常不使用.MHT格式文件,因此当PC用户尝试访问此文件时,Windows会默认打开IE。
要发起攻击,只需诱使用户打开通过电子邮件、messenger或其他文件传输服务接收到的附件。
“例如,对c:\Python27\NEWS的请求可以返回该程序的版本信息,”Page解释说。“在本地打开恶意.MHT文件后,它就会启动Internet Explorer。之后,用户交互,例如重复标签“Ctrl + K”以及其他交互,例如右键点击网页上的“打印预览”或“打印”命令,也可能会触发XXE漏洞。”
2
漏洞会影响Windows 7、Windows 10和Windows Server 2012 R2
Page表示,他在最新的Internet Explorer Browser v11中成功测试了该漏洞,其中包含Windows 7、Windows 10和Windows Server 2012 R2系统上的所有最新安全补丁。
根据NetMarketShare的说法,随着该漏洞被披露的唯一好消息可能就是Internet Explorer曾经占据主导地位的市场份额现已缩减至7.34%,这表明使用IE浏览器的人已经很少了。
但是,由于Windows将IE浏览器作为打开MHT文件的默认应用程序,用户不一定必须将IE设置为默认浏览器,并且只要IE仍然存在于他们的系统上,用户还是能打开MHT文件。
3
微软已被通知但拒绝修复
Page表示他已在3月27日向微软报告了该漏洞,但该厂商在4月10日给研究人员的回复中表示将考虑对该漏洞进行紧急修复。
微软表示:“我们将在此产品或服务的未来版本中考虑修复该漏洞,但目前我们不会持续更新此漏洞的修复状态,我们已关闭此案例”。
在微软回应后,研究人员在其网站上发布了该漏洞的详细信息以及验证概念演示代码。
尽管微软做出了回应,但不应轻视这个漏洞。网络犯罪组织在过去几年中利用MHT文件进行鱼叉式网络钓鱼和恶意软件分发,而MHT文件一直是打包并向用户计算机提供攻击的常用方法。
因为它们可以存储恶意代码,所以在打开之前应始终扫描所有MHT文件,无论文件最近是否被接收,或者它已经在PC上站了好几个月。
今年早些时候,微软网络安全专家Chris Jackson就敦促还在使用IE浏览器的用户赶紧停止使用。微软也在2015年正式宣布停止支持老版本IE浏览器。
相关阅读:
IE浏览器脚本引擎——2018年朝鲜黑客最爱的攻击目标
1158
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
