微軟不急於修復IE11的零日漏洞 涉及古老的MHT檔案格式
儘管微軟在力推 Windows 10 平臺上的 Edge 瀏覽器,甚至選擇擁抱競爭對手 Google 家的 Chromium 核心,但 IE 11 瀏覽器並不會那麼快消失。 由於歷史上的獨特地位,IE11 仍保有一定的市場佔有率。然而近日曝光的一個零日漏洞,又讓不少使用者陷入了恐慌。 據悉,該漏洞利用了一種被稱作 MHT 的特殊檔案格式,是微軟在 IE 中儲存網頁時曾使用的一種特殊格式。
微軟並不急於為這個零日漏洞打補丁(截圖 via: SlashGear )
儘管現在的網頁會被儲存為 HTML 格式,但 IE11 還是保留了能夠開啟 MHT 格式檔案的能力。然而安全研究員 John Page 指出:
問題在於,MHT 檔案有兩個特殊的屬性 —— 首先,MHT 可在 Internet Explorer 中自動開啟;其次,一個特製的 MHT 檔案,可向遠端代理(黑客)敞開訪問本地檔案的許可權。
它甚至可以關閉任何有關的 ActiveX 物件(這是另一項‘史前技術’)、以及那些需要使用者參與互動的警告。
Internet Explorer - XML External entity Injection 0day( via )
據悉,該漏洞波及 Windows 7、Windows 10、以及 Windows Server 2012 R2 作業系統中的 Internet Explorer 11 瀏覽器。
其實早在上月底,微軟就已經知曉了該漏洞。遺憾的是,或許是考慮到 IE 的使用者已經很少,軟體巨頭表示自己並不急於修復該漏洞。