微軟不急於修復IE11的零日漏洞 涉及古老的MHT檔案格式

儘管微軟在力推 Windows 10 平臺上的 Edge 瀏覽器，甚至選擇擁抱競爭對手 Google 家的 Chromium 核心，但 IE 11 瀏覽器並不會那麼快消失。 由於歷史上的獨特地位，IE11 仍保有一定的市場佔有率。然而近日曝光的一個零日漏洞，又讓不少使用者陷入了恐慌。 據悉，該漏洞利用了一種被稱作 MHT 的特殊檔案格式，是微軟在 IE 中儲存網頁時曾使用的一種特殊格式。

微軟並不急於為這個零日漏洞打補丁（截圖 via： SlashGear ）

儘管現在的網頁會被儲存為 HTML 格式，但 IE11 還是保留了能夠開啟 MHT 格式檔案的能力。然而安全研究員 John Page 指出：

問題在於，MHT 檔案有兩個特殊的屬性 —— 首先，MHT 可在 Internet Explorer 中自動開啟；其次，一個特製的 MHT 檔案，可向遠端代理（黑客）敞開訪問本地檔案的許可權。

它甚至可以關閉任何有關的 ActiveX 物件（這是另一項‘史前技術’）、以及那些需要使用者參與互動的警告。

Internet Explorer - XML External entity Injection 0day（ via ）

據悉，該漏洞波及 Windows 7、Windows 10、以及 Windows Server 2012 R2 作業系統中的 Internet Explorer 11 瀏覽器。

其實早在上月底，微軟就已經知曉了該漏洞。遺憾的是，或許是考慮到 IE 的使用者已經很少，軟體巨頭表示自己並不急於修復該漏洞。

活動入口: