關于IE 11瀏覽器被爆安全漏洞的安全公告

發(fā)布時間:2022-07-27 15:42

一、情況分析

近日安全專家在IE 11瀏覽器上發(fā)現(xiàn)了全新漏洞，在處理.MHT已保存頁面的時候能夠讓黑客竊取PC上的文件。更為重要的是.MHT文件格式的默認處理應用程序是IE 11瀏覽器，因此即使將Chrome作為默認網(wǎng)頁瀏覽器這個尚未修復的漏洞依然有效。

該漏洞是由John Page率先發(fā)現(xiàn)的，只需要用戶雙擊.MHT文件IE瀏覽器中存在的XXE（XML eXternal Entity）漏洞可以繞過IE瀏覽器的保護來激活ActiveX模塊。

研究人員表示：“通常情況下，在IE瀏覽器中實例化‘Microsoft.XMLHTTP’這樣的ActiveX對象的時候會跳出安全警示欄，以提示啟用了被阻止的內(nèi)容。但是使用惡意的<xml>標記來打開特制的.MHT文件時候，用戶將不會收到此類活動內(nèi)容或安全欄警告。”

該漏洞是釣魚網(wǎng)絡攻擊的理想選擇，通過電子郵件或者社交網(wǎng)絡傳播后可以讓惡意攻擊者竊取文件或者信息。Page表示：“這允許遠程攻擊者竊取本地文件，并且對已經(jīng)感染的設備進行遠程偵查。”不幸的是，目前微軟還沒有計劃解決這個問題，微軟反饋稱：“我們確定在此產(chǎn)品或服務的未來版本中將考慮修復此問題。目前，我們不會持續(xù)更新此問題的修復程序狀態(tài)，我們已關閉此案例。

二、影響范圍

據(jù)悉該漏洞適用于Windows 7/8.1/10系統(tǒng)。

三、處置建議

在微軟正式修復IE 11瀏覽器上的漏洞之前，推薦用戶尤其是企業(yè)用戶盡量減少通過IE 11瀏覽器下載和點擊不明文件。