IE新安全漏洞 可能导致下载危险文件

    丹麦Secunia等于8月19日公开了在Internet Explorer（IE）中发现的新安全漏洞。如果用户在做过手脚的Web网站上进行鼠标操作，就会把互联网上的任意文件（比如病毒）下载到个人电脑上，下载时不会出现任何提示对话框等。目前补丁尚未公开，对策是将活动脚本设为无效等。

    安全漏洞由“http-equiv”发现。在对其投至安全相关邮件列表的稿件进行检测后，Secunia在自己的网站上公开了此次的漏洞。

    导致此次安全漏洞的原因在于：IE没有仔细检查进行拖放等操作时产生的DHTML（动态HTML）事件。因此，如果在做过手脚的Web网站上进行拖放与点击等鼠标操作，不向用户发出任何警告就能把任意文件下载到个人电脑上。由于这时可由攻击者指定下载方，因此可把下载内容下载到启动文件夹中。

    http-equiv公开的示范网站。拖放Web网页上的图像后，没有发出警告就将放置在网站上的“无害”可执行文件下载到了启动文件夹中。重新启动个人电脑之后，就会自动运行这一文件。虽然在这个演示中不进行拖放操作就不会下载，但如果突破这一安全漏洞，单击就可能下载。

    此次的安全漏洞可以称为微软2003年11月公开的“Internet Explorer 的累积性安全更新（824145）（MS03-048）”中包含的“拖放操作有关的漏洞”的“变种”，用户受害的过程与影响大小是一样的。

    只要用户没有任何动作，就不会下载文件。但哪怕是“点击链接”的动作都可能下载文件，因此属于非常危险的安全漏洞。而微软将“拖放操作有关的漏洞”的严重等级设为第二严重的“重要”。

    目前美国微软尚未公开安全信息与补丁等。Secunia提出的对策是将活动脚本设置为无效，或使用其他浏览器。当然，坚守安全对策“不靠近可疑Web网页”也是非常重要的。