微软上周表示,正在调查一可能影响所有操作系统版本的漏洞,使用者若访问恶意网站就可能让骇客在使用者系统上执行恶意的脚本程序,进而窃取使用者资料。
微软安全回应中心经理Angela Gunn表示,该漏洞是藏匿在MHTML协定处理程序中,该功能是让应用程序描绘特定型态的文件,相关攻击会类似于伺服器端的跨站脚本(XSS)漏洞,例如骇客可能打造一个用来触动恶意脚本程序的HTML链接,然后诱导使用者点选,使用者一但点击,该脚本程序就会开始在现有的IE浏览器期间内运作,这类的脚本程序可能蒐集使用者的各种资料,或是在IE浏览器中显示伪造的内容,或者干扰使用者经验。
根据微软的说明,虽然
IE浏览器为攻击指标,但这属于系统漏洞,因此与IE版本无关,XP及之后所有支援MHTML协定程序的操作系统版本都会受到影响。
目前已出现针对该漏洞的概念性验证程序,不过尚未发现实际攻击行动。微软现则提供暂时补救方案,建议使用者锁住MTHML协定,使用者可透过微软的Fix-it功能进行自动设定。
