ChinaByte 1月29日消息 一家安全公司近日公布了微软IE网络浏览器中的新缺陷,该缺陷诱骗浏览用户下载恶意文件。
丹麦公司Secunia发布了所称缺陷详情,该缺陷可被用来与该公司先前报告的“诱骗”缺陷合并使用。
微软公司代表说,公司正在调查此项报告,但是目前没有得到任何利用此缺陷的报告。微软代表还响应从前的有关批评,这些批评者说,安全研究者在软件制造商尚未进行充分调查和修复问题之前即公开软件缺陷。微软代表称:公司继续鼓励人们负责任地披露软件缺陷。
新发现的缺陷可使恶意网站所有者巧妙地不让用户识别出可下载文件的真实目的,这样恶意程序文件可以被搞成看上去像是安全的文件。例如,网站访问者可能认为,他们正在下载基于PDF格式的文档,但是用户实际上是在下载一个恶意的自我执行程序,例如新的MyDoom蠕虫。
Secunia公司发布的安全建议包括了缺陷是如何被利用的一项在线测试。该安全公司称,它所确认的缺陷存在于Internet Explorer 6.0版,但是微软此前版本的软件也会受到影响。Secunia 安全公司代表没有就采访要求做出即时回应。
如果将此缺陷与上月Secunia公司报告的另一个IE漏洞结合起来,新发现的缺陷有特别后果。该缺陷在IE浏览器的地址与状态条上显示虚假网址,以此掩盖网站所有者的真实身份。
微软公司尚未发布修复缺陷的补丁程序,虽然公司已经在公告牌上发布了避免此类“诱骗”网站的提示。这些提示没有提到点击超文本链接的问题。微软建议说:推荐在地址栏中输入你打算去的URL(超文本链接网址)。(完)
