YephyBlog

[视频]微软不急于修复IE11的零日漏洞 涉及古老的MHT文件格式

尽管微软在力推 Windows 10 平台上的 Edge 浏览器,甚至选择拥抱竞争对手 Google 家的 Chromium 内核,但 IE 11 浏览器并不会那么快消失。由于历史上的独特地位,IE11 仍保有一定的市场占有率。然而近日曝光的一个零日漏洞,又让不少用户陷入了恐慌。据悉,该漏洞利用了一种被称作 MHT 的特殊文件格式,是微软在 IE 中保存网页时曾使用的一种特殊格式。

微软并不急于为这个零日漏洞打补丁(截图 via:SlashGear)

尽管现在的网页会被保存为 HTML 格式,但 IE11 还是保留了能够打开 MHT 格式文件的能力。然而安全研究员 John Page 指出:

问题在于,MHT 文件有两个特殊的属性 —— 首先,MHT 可在 Internet Explorer 中自动打开;其次,一个特制的 MHT 文件,可向远程代理(黑客)敞开访问本地文件的权限。

它甚至可以关闭任何有关的 ActiveX 对象(这是另一项‘史前技术’)、以及那些需要用户参与交互的警告。

Internet Explorer – XML External entity Injection 0day(via)

据悉,该漏洞波及 Windows 7、Windows 10、以及 Windows Server 2012 R2 操作系统中的 Internet Explorer 11 浏览器。

其实早在上月底,微软就已经知晓了该漏洞。遗憾的是,或许是考虑到 IE 的用户已经很少,软件巨头表示自己并不急于修复该漏洞。

打赏
微信
支付宝
微信二维码图片

微信扫描二维码打赏

支付宝二维码图片

支付宝扫描二维码打赏

Yephy

Do the right thing at the right time !

发表评论

Yephy

Do the right thing at the right...