您的位置:首页资讯软件新闻 → MSN Messenger等发现可调用任意程序的漏洞

MSN Messenger等发现可调用任意程序的漏洞

时间:2004/10/8 14:56:00来源:本站整理作者:蓝点我要评论(0)

>   在MSN Messenger、Microsoft Word与Mozilla(Windows版)等软件中相继发现了与“shell:”功能有关的安全漏洞。打开Web网页或点击链接后,个人电脑中的程 序可能会被任意运行。Mozilla已经公开了修正补丁与修正版本(日文),MSN Messenger与Word的对策就是不点击不可靠的链接。



  “shell:”是Windows支持的URL处理器(handler),而URL处理器可以通过Web网页等启动应用功能。比如,系统中安装了Outlook 2002后,Outlook 2002便登记为URL处理器“outlook://”。如果使用这一URL处理器,可以通过点击链接来启动Outlook 2002。此次出现问题的“shell:”是调用shell(Explorer)的URL处理器,可以打开个人电脑中的文件或特殊文件夹(如在Internet Explorer中输入“shell:AppData”后,可以打开ApplicationData文件夹)。



  通过“shell:”只能调用个人电脑中的文件。另外在调用文件时,无法提交参数。因此,即使应用Web网页与HTML文件的“shell:”命令提交给Windows,危险也并不大。但是,存在通过其他手段启动恶意程序。另外,也可以作为寻找个人电脑中程序存在的其他安全脆弱性的手段。



  安全公司Secunia表示,“由于‘shell:’功能本来就不安全,因此只允许可靠的资源访问”(英文)。此次在MSN Messenger、Microsoft Word与Mozilla(Windows版)等中发现的,就是不限制“shell:”向Windows提交的漏洞。



  对于Windows版的Mozilla、Mozilla Firefox与Mozilla Thunderbird,7月7日公开了修正补丁与修正版的Mozilla 1.7.1/Firefox 0.9.2/Thunderbird 0.7.2(日文)。US-CERT还公开了将shell:设为无效的预防方法(英文)。



  对于MSN Messenger 6.x与Microsoft Word 2002,Secunia对7月11日投往安全相关邮件列表的内容进行验证后,7月12日予以公开(英文)。目前尚未公开补丁等。Seunia提出的对策是:“在MSN Messenger中不点击链接”、“在Word中不点击来源不可靠的链接”。



  此次有关“shell:”的安全漏洞,并不只限于MSN Messenger、Microsoft Word与Mozilla等。US-CERT指出,“所有将‘shell:’的URL提交给Windows的程序(如Internet Explorer与Outlook)都存在同样的漏洞”。



相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 滴滴和优步合并了吗 优​思源黑体:改变锤子手机发布会看点预TK域名免费注册及解析

最新文章 鸿蒙3.0新功能特性介绍微信PC端内测版3.7.0发 win11更新失败怎么办 windows更新win11失败win11怎么退回win10系统 win11退回win10系统win11系统配置要求 win11系统安装配置详解Window 11系统有哪些变化 Window 11系统七大

人气排行 2020年放假安排时间表全年图 2020年法定节假2021年放假安排时间表全年图 2021年法定节假微信公众号怎么申请 微信公众号申请要钱吗zune怎么用?zune使用攻略!2014台式机装机配置推荐snmp协议在windows下的安装与配置2016猴年邮票多少钱一套 2016猴年邮票价格表微信朋友圈三天可见怎么破解 朋友圈仅展示三