警惕!IE文件下载窗口欺骗漏洞可能被黑客利用 -pc6资讯

您的位置：首页 → 网络冲浪 → 网络其他 → 警惕!IE文件下载窗口欺骗漏洞可能被黑客利用

警惕!IE文件下载窗口欺骗漏洞可能被黑客利用 时间：2004/10/8 15:00:00来源：本站整理作者：蓝点我要评论(0)

千龙网讯 7月13日，我国著名反病毒厂商江民科技反病毒专家监测到，IE文件下载窗口存在文件名称和文名类型欺骗漏洞，利用该漏洞，黑客可以为一个文件下载链接写一段脚本程序，使得该链接被点击时，IE会自动显示一个无边框的弹出窗口，恰好遮住“文件下载”对话框上有关要下载的文件名称和类型等信息。用户看到的文件名和类型将是弹出窗口上的任意信息，有可能被假相欺骗，下载并运行恶意程序。

　　江民反病毒专家还列举了一个利用该漏洞的具体实例。

　　用户点击了某个链接，IE弹出了“文件下载”对话框，如图1：

图1

　　根据对话框显示，即将被下载的文件是sexycoeds.jpg，文件类型是JPEG图片。JPEG图片是安全的，所以用户很可能继续点击“打开”或“保存”按钮，如果这样就中招了。

　　此时把“文件下载”窗口拖拽到另一个位置，恶意代码的险恶用心就一目了然了。

图2

　　从图2可以清楚的看到，文件名称sexycoeds.jpg和文件类型JPEG image都是假的，它们是一个弹出窗口（已用红色标记）上的文本，而真正的文件名和文件类型信息被这个弹出窗口遮盖了，现在才露了出来。要是刚才点击了“打开”或“保存”按钮，用户现在已经把badfile.exe这个程序下载到自己的机器上了。

　　反病毒专家提醒，该欺骗漏洞的迷惑性相当大，但根据上文的演示，要防范它也不难，只需要在确定下载前先移动一下“文件下载”窗口，很容易看出恶意脚本的破绽。

　　江民公司提醒广大用户，对于该漏洞，微软尚无任何修复或补丁程序。在上网时一定要提高警惕，开启KV的七套实时监控，保护您的系统不受恶意程序的侵害。