微軟上周表示,正在調查一可能影響所有視窗版本的漏洞,使用者若造訪惡意網站就可能讓駭客在使用者系統上執行惡意的腳本程式,進而竊取使用者資訊。
微軟安全回應中心經理Angela Gunn表示,該漏洞是藏匿在MHTML協定處理程序中,該功能是讓應用程式描繪特定型態的文件,相關攻擊會類似於伺服器端的跨站腳本(XSS)漏洞,例如駭客可能打造一個用來觸動惡意腳本程式的HTML連結,然後誘導使用者點選,使用者一但點擊,該腳本程式就會開始在現有的IE期間內運作,這類的腳本程式可能蒐集使用者的各種資訊,或是在瀏覽器中顯示偽造的內容,或者干擾使用者經驗。
根據微軟的說明,雖然IE為攻擊指標,但這屬於視窗漏洞,因此與IE版本無關,XP及之後所有支援MHTML協定程序的視窗作業系統版本都會受到影響。
目前已出現針對該漏洞的概念性驗證程式,不過尚未發現實際攻擊行動。微軟現則提供暫時補救方案,建議使用者鎖住MTHML協定,使用者可透過微軟的Fix-it功能進行自動設定。(編譯/陳曉莉)
熱門新聞
2025-01-26
2025-01-26
2025-01-25
2025-01-24
2025-01-24
2025-01-26
Advertisement