网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
近日,美国计算机应急响应小组(Computer Emergency Readiness Team,简称CERT)公布了微软IE浏览器中存在的一个最新漏洞,目前这一漏洞还没有完善的解决方案,用户即使采取了一定的保护措施仍然不能完全避免该漏洞所带来的危险。
利用这一漏洞,入侵者可以欺骗IE浏览器中的InfoTech Storage(ITS)协议处理器,使之从其它域获取
脚本,并获得同目标计算机上本地区域相同的权限。CERT指出,入侵者在访问某一网站时通过使用一个特殊的URL地址就可以执行上述脚本,从而获得他人的信用卡信息甚至是造成整个
网络瘫痪。
这一漏洞的工作原理如下:IE浏览器通过ITS或者MHTML协议来标识一个不能访问或是不存在的MHTML文件;当IE浏览器没有发现编译完成的HTML帮助文件(CHM)时,ITS协议处理器就可能会受到欺骗从而访问来自其它域的CHM文件。此时入侵者就可以通过对CHM文件进行精心设计,使之包含可以从其它域执行的脚本,从而交叉域安全模式也就被入侵者攻破了。
通常情况下,如果IE浏览器存在漏洞,用户可以选择使用Opera或是Netscape等浏览器直至相关补丁推出,但CERT指出这次的漏洞却不能通过这种方法解决。因为此次的漏洞不仅仅存在于IE浏览器,同时也会影响到所有使用WebBrowser ActiveX控件或MSHTML的应用程序,如Outlook以及Outlook Express。
CERT同时称,甚至禁用Active脚本以及ActiveX控件都不能规避所有的危险,而是仅仅能减少受到几种特定类型攻击的可能。对于普通用户和
网络管理员来说,解决这一问题较好的方法是访问注册表中“HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler”项,禁用“ms-its,”、“msitss,”以及“its,mk”键值。
通常,人们都认为安全机构不应当在软件开放商推出补丁之前公布漏洞细节,但这次美国CERT的做法事出有因:其一是目前互联网上已经出现利用这一IE最新漏洞的木马病毒,另一方面是因为微软在解决类似漏洞的过程中行动过于迟缓。CERT在建议中指出,互联网用户近一段时间应当尽量避免点击在电子邮件、即时信息、
网络论坛以及IRC聊天室中出现的陌生URL链接。
微软计划在下周二(美国当地时间)发布每月例行安全更新,目前该公司发言人还没有明确表示届时是否会发布针对这一IE漏洞的补丁,或者今年8月发布的一个用于解决类似漏洞的补丁是否会对这一最新漏洞生效。
(出处:viphot)
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:IE浏览器又发现致命漏洞 目前尚无处理方案