作为通向Internet世界的一扇窗口,IE的每一个安全漏洞,都让黑客和病毒爱好者兴奋不已。据统计,60%病毒是利用IE漏洞为所欲为的!在微软大力推动下,IE已经和系统紧密结合在一起了,它的安全也维系着整个系统的安危!不信的话,请往下看,你可认识这些漏洞!
作为通向Internet世界的一扇窗口,IE的每一个安全漏洞,都让黑客和病毒爱好者兴奋不已。据统计,60%病毒是利用IE漏洞为所欲为的!在微软大力推动下,IE已经和系统紧密结合在一起了,它的安全也维系着整个系统的安危!不信的话,请往下看,你可认识这些漏洞!
IFrame漏洞
安全公告:
http://www.microsoft.com/technet/security/bulletin/MS99-042.asp
回顾2002年,一大批病毒,比如求职信、新娘、中国黑客等,都是借助IFrame漏洞传播。它的可怕之处在于,不用打开附件,在你预览邮件时病毒就悄悄地执行了,令人防不胜防,由此带来的损失也是惊人的!
IFrame是主浏览器窗口的一个子窗口,在有该漏洞的电脑上,IFrame可称得上是非法请求的“避风港”。IE可以限制站点管理员对浏览者的电脑采取可能的破坏行为。当Web服务器上的软件请求对浏览用户的电脑进行某种特殊操作时,IE便会对该请求进行检测,只允许合法的请求通过。然而,若请求软件位于IFrame内部时,IE所进行的检测就并非全都能实现,特别是当某个请求通过ExecCommand()的脚本方法发出,且在IFrame上调用时,IE就不能正确地进行限制。
MIME漏洞
安全公告:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
该漏洞能引起Outlook或OE自动执行邮件附件,比如本·拉登病毒、求职信的变种等。此漏洞也深受恶意网页的喜爱,它能在你浏览网页时不知不觉地搞破坏。
首先我们必须了解什么是MIME。MIME是“Multipurpose Internet Mail Extension”的缩写,译作“多用途的网络邮件扩充协议”,起初只用在Internet电子邮件中进行编码,后来演化成E-mail,Usenet新闻和Web的通用方法。
有漏洞的IE在处理不正常的MIME类型时存在着严重的安全隐患。首先攻击者可以创建一个HTML格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,IE就能在不提示用户的情况下直接运行该附件!如果该附件是一个恶意程序,后果如何是可想而知的。该漏洞还累及到与IE的关系密切的Outlook、OE。
缓冲溢出漏洞
安全公告:
http://www.microsoft.com/technet/security/bulletin/MS02-005.asp
缓冲溢出是一种常见的漏洞类型,我们还得从缓冲区说起。缓冲区指的是在内存中分配一块区域,用来储存电脑程序信息、中间计算结果、输入参数等信息。数据调入缓冲区前,程序应该验证缓冲区是否有足够的长度容纳这些数据,如果缓冲区不足,数据将溢出缓冲区,并且复写在邻近的数据上,假如这些数据是破坏性的可执行代码,程序将会按照数据提供者所设定的要求执行。
IE在处理HTML文档中的内嵌对象时存在一个缓冲溢出漏洞,它会使用户在浏览网页或查看HTML邮件信息时,让攻击者在系统上执行任意代码。
熟悉网页制作的朋友一定不会对 标记感到陌生,它是用来在主页中嵌入多媒体文件。攻击者会利用伪造的SRC属性,在有漏洞的IE上,由于其不能正确处理该SRC属性,因此导致缓冲溢出,从而利用用户查看文件的权限来执行代码。
错误VBScript处理漏洞
安全公告:
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp
该漏洞可导致攻击者俘获用户访问的第三方网站的内容,比如用户名、密码,甚至信用卡信息等。问题的起因是IE在处理VBScript脚本的跨域权限确认时存在缺陷,攻击者只要将恶意的VBScript脚本嵌入到框架内,便可访问到其他域中的框架内容,然后发送这些内容回他们的网站。
看完以上的内容,你是不是对IE感到很恐惧?其实,若要对IE的漏洞进行全面的描述,恐怕要写一本厚厚的书,更何况时不时还有新的IE漏洞冒出。那么,面对着天天要打交道的浏览器,想要安全的您,究竟要采取什么措施?事实上,只要是软件就肯定有漏洞存在,好在微软针对大部分漏洞都能快速拿出解决方案,我们需要做的就是及时给系统打上补丁,就是这么简单!
网友评论