WinSP2拖放IE窗口可能导致黑客攻击
安全研究人员星期四警告说,IE的拖放功能存在安全缺陷,会使数百万网民面临黑客攻击的危险。
根据Secunia,这个缺陷影响IE 5.01,5.5,和这个系统已经安装了SP1或SP2系统6版本。Secunia评级缺陷的风险为高风险,建议用户禁用活动脚本功能IE.
Secunia称,这一缺陷是通过拖动并从互联网域名的本地资源不足引起的拖放事件验证。黑客可以将有害的可执行文件在用户的启动文件夹,该文件将被执行时,Windows启动下一次。
安全研究人员发现的缺陷数和编码http-equiv已经发布了一个概念验证攻击代码。当用户伪装成一个图像文件的恶意文件时,他们将在用户的启动文件夹中植入代码。
Secunia公司警告说,尽管概念证明型的攻击代码需要用户执行拖放事件,它可能会改写推出使用鼠标单击事件的攻击。
这一缺陷是缺陷的中国安全研究员刘蝶宇非常相似(音译)去年十一月。这些缺陷使用户面临的系统的非法访问的隐患,保密信息的泄露,等等。