安全厂商上周揭露了微软IE的安全漏洞,并指出该漏洞影响Windows XP操作系统上的IE 6、IE 7及IE 8,可能导致远端程序攻击,微软则于本周一(3/1)发表该漏洞的安全公告。
微软说明,这是一个存在于IE上VBScript与Windows Help文件互动时的漏洞,黑客可以打造一个恶意网站并显示一个对话窗口,要求使用者按下F1,一旦使用者按下该键,黑客就能在使用者系统上执行任意程序或取得使用者系统权限。
该漏洞影响Windows XP、Windows 2000及Windows 2003等操作系统上任何版本的IE,其中Windows 2003上的IE因启用强化安全设定因此可降低该漏洞所带来的影响。
微软强调,迄今尚未接获针对该漏洞的攻击报告,由于还未订定修补时程,微软提供了各种权宜措施。包括建议使用者造访网站时,不要接受网站以任何方式要求使用者按下F1,因为如果不按F1,黑客就无从攻击该漏洞;其次是更改winhlp32.exe上的存取限制名单(ACL)以封锁对 Windows Help系统的存取;或是将网络或区域网络设为高度安全等级,以封锁相关区域的ActiveX控制功能与Active Scripting。