| WinXP SP2 的IE窗口滚动条拖曳漏洞[附演示] |
|
| http://www.kingsoft.com
金山在线 (2004年08月31日 10:01) 文章来源:金山毒霸编译 |
原来许多人认为网友http-equiv所指出SP2中的窗口拖放漏洞并不严重,并且微软公司自己也宣称对于用户来说该漏洞并不具备较高的危险性。
然而最近安全专家指出这个漏洞将会导致非常严重的安全问题,并不是媒体和一些商家的有意炒作。
这个漏洞的实现过程是这样的,网页中含有一个很小的区域(比如:5x5像素),这个区域会自动跟随鼠标。当用户使用鼠标拖拽该网页的滚动条时,一个隐藏的图片(可以是木马)在同一时间也被拖动了,只要一松开鼠标按键,这个隐藏图片就会保存到开始菜单的启动项中(注:要保证鼠标松开的位置在浏览器中)。
“在浏览窗口的时候,拖拽滚动条是很平常的事情,”安全专家说道,“但对于普通用户来说,他们是无法接受一个陌生的程序此时会在机器中偷偷安装。”
安全专家的建议:如果你已经安装了sp2,在“Internet选项”选项的“安全”标签里单击“自定义级别”按钮,在弹出的对话框中的“ActiveX 控件和插件”里禁用“二进制和脚本行为”。
安全专家还提到,他们仅花了二十分钟便编写了关于此漏洞的实现代码,而遍布在世界各处的脚本研究高手将会有更多的时间完善这个漏洞攻击代码。安全专家提醒大家注意此漏洞的严重性。
下载演示:
http://www.duba.net/download/soft/tdgdtld.rar
|
| 【责任编辑:Belinda】 |
|
|
 |
|
邮件订阅
|
|
English
