Internet Explorer中的潘多拉魔盒 作者：江海

Internet Explorer中的潘多拉魔盒　　　作者：江海 　　發布時間：2001/06/06

文章摘要: 　　Internet Explorer中的潘多拉魔盒——受影響的系統Microsoft Internet Explorer 5.5（5.01，5.0）+Microsoft Windows 98（NT4，2000，95）。

本文:
Internet Explorer中的潘多拉魔盒 　　又是微軟的"一不小心"，前幾日從一個搞網路安全的朋友那裡得到了這個可怕的訊息，微軟的IE瀏覽器被再次發現存在重大安全缺陷。 　　受影響的系統Microsoft Internet Explorer 5.5（5.01，5.0）+Microsoft Windows 98（NT4，2000，95）。 這個漏洞是由於IE在處理MIME頭中Content-Type處指定的某些類型時比如"audio/x-wav"，存在問題，IE會把該郵件附件區的程式或者是指令碼（比如批次檔）當成多媒體下載並執行。攻擊者可以利用這類缺陷在IE用戶端執行任意命令甚至是應用程式。 　　更糟糕的是帶有這樣攻擊手段的Email所攜帶的攻擊不需要你的確認就可以執行，也就說當你收到這樣一封郵件並且在你的Outlook/Outlook Express中看到它時，你，已經中招了。如果把這樣一封郵件存成*.eml放到網頁上，那麼使用IE瀏覽的時候同樣會受到攻擊，甚至在資源總管中如果採用了WEB方式的檔案預覽也會有同樣的效果。 　　為了做實驗，朋友發了一個帶WSH指令碼的EML給我，在Outlook Express一看，我的系統使用者中就加上了一個具有超級許可權的帳號，我的機器可以說對他開啟了門戶。可以想見這個漏洞不補上駭客病毒又將大行其道了。 　　該漏洞的危害性非常巨大。微軟尚未推出徹底解決問題的最新補丁。唯一避免法子就是將IE的安全層級設為禁止檔案的下載，禁止以WEB預覽方式使用資源管理員，並且關注微軟最新補丁的推出。或者使用其他的瀏覽工具和郵件工具。