微软修补了IE漏洞

时间:2019-04-05
作者:干谗伫

微软今天在其Internet Explorer浏览器中发布了针对三个安全和隐私错误的补丁,并表示正在调查第四个问题。

本月早些时候 ,IE 4和5中修复的第一个错误可能会泄露本地文件并允许窗口欺骗。 该错误允许恶意网站运营商向添加简短后缀,以便歪曲其来源。 通过这种方式,漏洞利用可以绕过IE的安全区域,因为IE将网站视为客户端本地域的一部分,例如在企业内部网中。

该错误的一个后果是恶意网站操作员可以读取本地文件并将其发送到另一台服务器,如果他或她知道访问者计算机上文件的名称。 第二个结果是Web运营商可以欺骗可信站点的窗口,可能诱使访问者放弃敏感信息,例如用户名,密码或信用卡信息。

微软过去曾多次不得不这种类型的错误。

微软修补的第二个漏洞与上个月发布的一个漏洞有关,该漏洞使用户的剪贴板容易受到Web运营商的检查。 该漏洞仅影响IE 5,允许网站操作员将网页控件粘贴到访问者的剪贴板中。

剪贴板保存用户最近复制或剪切的文本。 剪贴板一次只存储一个剪辑,因此新剪辑会自动删除前一个剪辑。

第三个修复程序修复了IE 4和5中相对较小的隐私错误,该错误会让网站运营商收集有关已知文件大小的信息以及打开它所需的应用程序类型。 该漏洞的存在是因为IE允许Web作者使用图像源标记(IMG SRC)来引用实际上不是图像的文件。 该修复程序扫描这些标记指示的文件,以确保它们确实是图像。

可以从Microsoft 获得在IE 5解析引擎中实现的补丁。

微软还表示,它正在研究IE 5中的另一个小隐私漏洞。IE 5的一项新功能允许网站提供一个图标,如果用户选择它作为“最爱”,用户可以附加到该网站的列表中。 在明显无关紧要的隐私侵犯中,该网站可以查看特定IP地址的用户是否下载了该图标。 微软正在研究阻止网站这样做的方法。

分享你的声音

标签