賽迪網(wǎng) 文/劉彥青

　　安全研究人員本周四警告稱(chēng)，微軟IE瀏覽器拖放功能中的一個(gè)安全缺陷可能使數(shù)以百萬(wàn)計(jì)的網(wǎng)民面臨受到黑客攻擊的危險(xiǎn)。

　　據(jù)Secunia稱(chēng)，這一缺陷影響在已經(jīng)安裝SP1或SP2的Windows XP系統(tǒng)上運(yùn)行的IE 5.01、5.5、6.0版本。Secunia對(duì)該缺陷的危險(xiǎn)程度評(píng)級(jí)為“高�！�，并建議用戶禁用IE瀏覽器中的“活動(dòng)腳本”功能。

　　Secunia稱(chēng)，這一缺陷是由從互聯(lián)網(wǎng)域向本地資源發(fā)出的拖放事件的不充分驗(yàn)證造成的。黑客能夠在用戶的“啟動(dòng)”文件夾中安置有危害的可執(zhí)行文件，當(dāng)Windows下次啟動(dòng)時(shí)，該文件就會(huì)執(zhí)行。

　　發(fā)現(xiàn)該缺陷的、代號(hào)為http-equiv的安全研究人員已經(jīng)發(fā)布了一種概念證明型攻擊的代碼，當(dāng)用戶播放偽裝成一個(gè)圖像文件的惡意文件時(shí)，就會(huì)在用戶的“啟動(dòng)”文件夾中植入代碼。

　　Secunia公司警告說(shuō)，盡管這一概念證明型攻擊代碼需要用戶執(zhí)行拖放事件，但它可能被重寫(xiě)為利用鼠標(biāo)單擊事件發(fā)動(dòng)攻擊。

　　這一缺陷與中國(guó)的安全研究人員劉迭玉(音譯)去年11月份發(fā)現(xiàn)的一個(gè)缺陷非常相似。這些缺陷使得用戶面臨系統(tǒng)被非法訪問(wèn)、泄露機(jī)密資料等危險(xiǎn)。