【www.hzclsc.cn--热门资讯】

> 　　丹麦Secunia等于8月19日公开了在Internet Explorer(IE)中发现的新安全漏洞(英文)。如果用户在做过手脚的Web网站上进行鼠标操作，就会把互联网上的任意文件(比如病毒)下载到个人电脑上，下载时不会出现任何提示对话框等。目前补丁尚未公开，对策是将活动脚本设为无效等。

　　安全漏洞由“http-equiv”发现。在对其投至安全相关邮件列表的稿件进行检测后，Secunia在自己的网站上公开了此次的漏洞。

　　导致此次安全漏洞的原因在于：IE没有仔细检查进行拖放等操作时产生的DHTML(动态HTML)事件(英文)。因此，如果在做过手脚的Web网站上进行拖放与点击等鼠标操作，不向用户发出任何警告就能把任意文件下载到个人电脑上。由于这时可由攻击者指定下载方，因此可把下载内容下载到启动文件夹中。

　　

　　图为http-equiv公开的示范网站(点击放大(英文))。拖放Web网页上的图像后，没有发出警告就将放置在网站上的“无害”可执行文件下载到了启动文件夹中。重新启动个人电脑之后，就会自动运行这一文件。虽然在这个演示中不进行拖放操作就不会下载，但如果突破这一安全漏洞，单击就可能下载。

　　此次的安全漏洞可以称为微软2003年11月公开的“Internet Explorer 的累积性安全更新(824145)(MS03-048)”(英文)中包含的“拖放操作有关的漏洞”(英文)的“变种”，用户受害的过程与影响大小是一样的。

　　只要用户没有任何动作，就不会下载文件。但哪怕是“点击链接”的动作都可能下载文件，因此属于非常危险的安全漏洞。而微软将“拖放操作有关的漏洞”的严重等级设为第二严重的“重要”。

　　目前美国微软尚未公开安全信息与补丁等。Secunia提出的对策是将活动脚本设置为无效，或使用其他浏览器。当然，坚守安全对策“不靠近可疑Web网页”也是非常重要的。

本文来源：http://www.hzclsc.cn/news/13486.html