IE浏览器出现全新漏洞了······

fudashuai

近日安全专家在IE 11浏览器上发现了全新漏洞，在处理.MHT已保存页面的时候能够让黑客窃取PC上的文件。更为重要的是.MHT文件格式的默认处理应用程序是IE 11浏览器，因此即使将Chrome作为默认网页浏览器这个尚未修复的漏洞依然有效。该漏洞是由John Page率先发现的，只需要用户双击.MHT文件IE浏览器中存在的XXE（XML eXternal Entity）漏洞可以绕过IE浏览器的保护来激活ActiveX模块。

研究人员表示：“通常情况下，在IE浏览器中实例化‘Microsoft.XMLHTTP’这样的ActiveX对象的时候会跳出安全警示栏，以提示启用了被阻止的内容。但是使用恶意的<xml>标记来打开特制的.MHT文件时候，用户将不会收到此类活动内容或安全栏警告。”

该漏洞是钓鱼网络攻击的理想选择，通过电子邮件或者社交网络传播后可以让恶意攻击者窃取文件或者信息。Page表示：“这允许远程攻击者窃取本地文件，并且对已经感染的设备进行远程侦查。”不幸的是，目前微软还没有计划解决这个问题，微软反馈称：“我们确定在此产品或服务的未来版本中将考虑修复此问题。目前，我们不会持续更新此问题的修复程序状态，我们已关闭此案例。”

据悉该漏洞适用于Windows 7/8.1/10系统。在微软正式修复IE 11浏览器上的漏洞之前，推荐用户尤其是企业用户尽量减少通过IE 11浏览器下载和点击不明文件。

各位用户，一定要提高革命警惕性啊！   第3个帖子来了！

1、关注“系统总裁”公众号，了解最新的IT资讯。2、“免责声明”：因为本论坛不允许直接转帖IT资讯，本人只能根据cnBeta的原文进行相应修改整理而成（注：原标题已经修改，为本人对原文内容的感慨、感受或态度等的表达）。3、如果原作者有异议，烦请相告！本人将进行删除。谢谢！