不少人戏称 Windows 默认浏览器 Internet Explorer 最大的功用就是下载 Chrome,但大家亦要注意 IE 的安全。最近有专家发现一个 IE 漏洞,基本上只要 IE 存在於电脑之中就有机会中招。
虽然安装了新浏览器后,大部分人都不会将 IE 设为默认浏览器,但 IE 仍是默认开启「网络封存盘案」 MHT 的默认程序,故不法分子仍可藉 IE 处理 MHT 文件的漏洞来入侵电脑。
安全人员 John Page 指,IE 开启 MHT 文件时可遭受 XML External Entity (XXE)攻击,容许黑客窃取文件数据,以及对本机程序的版本资讯进行远程侦测。因此,只要黑客透过电邮或讯息传送特制的 MHT 文件,受害人便很有机会使用 IE 打开文件,继而中招。John Page 又指,当用户使用复制分页的快捷键 Ctrl + K,或者透过右键使用预览打印和打印功能时,亦有可能触及 XXE 漏洞。
John Page 补充,该漏洞已在 Windows 7, 10 和 Server 2012 R2 的最新版 IE 11 中验证过可行。漏洞在公开前已於三月通报 Microsoft,Microsoft 表示会修补有关问题。
