计算机安全研究人员和一个反病毒公司警告说微软公司的客户关于发动洞ie网络浏览器,允许远程攻击者绕过安全警告和恶意内容下载到脆弱的系统。
警告之后Bugtraq网络安全上的洞被发现有人讨论表使用的名称“Rafel Ivgi。”The hole affects Internet Explorer (IE) version 6.0.0, including the version released with Windows XP Service Pack 2. The vulnerability allows malicious attackers to bypass warnings designed to inform users when a file is being passed to their computer using a specially-crafted HTML Web document.
微软没能评论的洞时间这个故事。
赛门铁克安全软件公司发布了一个周五和引用Ivgi脆弱性预警的洞,也提供代码证明黑洞的存在。
根据赛门铁克Bugtraq消息和警报,一个IE的功能旨在抓住引用特定HTML文件下载不检测事件,被称为“onclick,”当它是结合常见的HTML标记,它指定开始和结束的主要Web页面的一部分。
恶意用户可以使用onclick事件结合另一个名为“createElement”的函数创建一个IFRAME,或“内联框架,”这是一个HTML元素,允许外部对象插入另一个HTML文档。攻击者可以将IFRAME链接到恶意网页,下载一个恶意文件到用户的电脑页面点击的时候,没有产生警告信息栏,赛门铁克说。
没有补丁可用新洞,并没有具体的开发代码需要利用洞,赛门铁克说。
IE用户建议避免未知或不可信来源所提供的链接,为了避免被吸引到一个恶意网站。IE用户还可以配置浏览器禁用脚本代码的执行和活动内容,尽管这样做可能有不利影响的方式即功能,赛门铁克说。
新闻三天前,微软发布了软件补丁几个严重的Windows安全漏洞和发布了一个新的工具,允许用户删除恶意软件的个人电脑,并在Web浏览器市场日益激烈的竞争从Mozilla基金会的火狐浏览器。
周二,微软。软件公司发布安全公告两个关键漏洞和补丁,一个窗户HTML帮助系统和其他在Windows代码处理游标,动画光标和图标格式。