瑞星预警:微软IE11浏览器被曝存在漏洞 攻击者可窃取隐私信息

2019-04-19   

近日,国外研究人员发现微软IE11浏览器中存在XXE(XML外部实体注入,XML External Entity)漏洞,该漏洞允许不法分子通过恶意mht文件窃取受害者隐私信息,且目前还没有针对该漏洞的补丁。

近日,国外研究人员发现微软IE11浏览器中存在XXE(XML外部实体注入,XML External Entity)漏洞,该漏洞允许不法分子通过恶意mht文件窃取受害者隐私信息,且目前还没有针对该漏洞的补丁。据瑞星安全专家分析,该漏洞属于信息窃取类漏洞,虽然不是远程代码执行漏洞,但广大用户也需要提高警惕,不要下载或打开可疑的mht文件,以免遭受隐私信息泄露、隐私被盗等风险。

视频:瑞星安全专家模拟出的攻击界面

据瑞星安全专家介绍,该漏洞是IE11浏览器对于mht文件解析不当,触发XML外部实体注入所致,黑客通过恶意mht文件即可获取访问本地文件的权限。目前,漏洞细节和漏洞利用代码已经公开,瑞星安全专家对攻击方式进行了模拟复现,以帮助广大用户了解不法分子是如何利用该漏洞进行攻击的。

瑞星安全专家在复现时发现,由于mht文件通常都会默认IE浏览器打开,所以当有不法分子通过网站或邮件等形式投放恶意mht文件时,用户只要双击打开就会触发该漏洞,进而不法分子就会通过控制服务器窥探到受害者电脑中的重要隐私信息并进行窃取。

图:瑞星安全专家模拟恶意.mht文件触发XXE漏洞

目前,微软回应称,“我们将在未来的产品或服务版本中考虑这个问题的修复方案。我们将不会提供该问题修复方案的状态更新进展情况,我们已关闭该案例。”

据悉,该漏洞波及Windows 7、Windows 10、以及Windows Server 2012 R2操作系统中的 Internet Explorer 11浏览器。瑞星安全专家提醒广大用户应提高警惕,做好以下防范措施:

1、浏览网页时,不下载或打开可疑.mht文档;

2、查看邮件时,不下载或打开邮件附件中的可疑.mht文档;

3、安装安全有效的杀毒软件,拦截并查杀恶意文档。

[责任编辑:瑞瑞]