不少人戲稱 Windows 預設瀏覽器 Internet Explorer 最大的功用就是下載 Chrome,但大家亦要注意 IE 的安全。最近有專家發現一個 IE 漏洞,基本上只要 IE 存在於電腦之中就有機會中招。
雖然安裝了新瀏覽器後,大部分人都不會將 IE 設為預設瀏覽器,但 IE 仍是預設開啟「網絡封存檔案」 MHT 的預設程式,故不法分子仍可藉 IE 處理 MHT 檔案的漏洞來入侵電腦。
安全人員 John Page 指,IE 開啟 MHT 檔案時可遭受 XML External Entity (XXE)攻擊,容許黑客竊取檔案資料,以及對本機程式的版本資訊進行遠程偵測。因此,只要黑客透過電郵或訊息傳送特製的 MHT 檔案,受害人便很有機會使用 IE 打開檔案,繼而中招。John Page 又指,當用戶使用複製分頁的快捷鍵 Ctrl + K,或者透過右鍵使用預覽列印和列印功能時,亦有可能觸及 XXE 漏洞。
John Page 補充,該漏洞已在 Windows 7, 10 和 Server 2012 R2 的最新版 IE 11 中驗證過可行。漏洞在公開前已於三月通報 Microsoft,Microsoft 表示會修補有關問題。
資料來源:John Page
Leave a Comment