几天前,安全研究人员在Microsoft Internet Explorer中发现了一个零日XML外部实体(XXE)注入漏洞,该漏洞可使攻击者从受害者的机器上窃取机密信息或提取本地文件。
![835aaee5698211b86aa2462810d8919a.png](https://i-blog.csdnimg.cn/blog_migrate/23f0d0bf2c15c8725ae15274e5d6d965.jpeg)
根据研究人员的说法,IE是MHT文件的默认开启者,因此即使用户使用其他浏览器,IE也可能会打开恶意MHT文件。 MHT是Internet Explorer用于脱机下载和保存文件的格式。它可用于保存Web内容或保存电子邮件。
研究人员发现IE浏览器中存在XXE漏洞,可以绕过ActiveX控件模块的安全性。通常,如果要激活ActiveX控件对象,IE将在地址栏中显示提示,然后用户必须手动单击“允许”才能执行。开发者只需要欺骗用户双击打开MHT文件。打开后,本地文件和相关程序版本信息将被泄露。
漏洞概况
根据安全研究员John Page(又名hyp3rlinx)的说法,如果用户使用“Ctrl + K”键或“Ctrl + P”键与浏览器交互时打开特制的.MHT文件,则XXE注入会启动。此操作会触发XXE漏洞,并使攻击者能够从受影响的系统中提取文件。
趋势科技的研究人员Ranga