• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

安全专家称IE拖动漏洞严重

发布: 2007-5-06 23:26 | 作者: 硅谷动 | 来源: 硅谷动 | 查看: 44次 | 进入软件测试论坛讨论

领测软件测试网   这个漏洞的实现过程是这样的,网页中含有一个很小的区域(比如:5x5像素),这个区域会自动跟随鼠标。当用户使用鼠标拖拽该网页的滚动条时,一个隐藏的图片(可以是木马)在同一时间也被拖动了,只要一松开鼠标按键,这个隐藏图片就会保存到开始菜单的启动项中(注:要保证鼠标松开的位置在浏览器中)。

  “在浏览窗口的时候,拖拽滚动条是很平常的事情,”安全专家说道,“但对于普通用户来说,他们是无法接受一个陌生的程序此时会在机器中偷偷安装。”

  安全专家的建议:如果你已经安装了sp2,在“Internet选项”选项的“安全”标签里单击“自定义级别”按钮,在弹出的对话框中的“ActiveX 控件和插件”里禁用“二进制和脚本行为”。

  安全专家还提到,他们仅花了二十分钟便编写了关于此漏洞的实现代码,而遍布在世界各处的脚本研究高手将会有更多的时间完善这个漏洞攻击代码。安全专家提醒大家注意此漏洞的严重性。

漏洞演示:http://www.duba.net/download/soft/tdgdtld.rar

  上周三,所有研究人员的目光都聚焦到预期的SP2查漏测试上。而最瞩目的报告是:http-equiv研究员发现了一个危害甚高的IE拖放漏洞。

  微软回应:部分报告指出恶意用户能使用该漏洞骗过WinXP SP2系统上的Windows 安全中心。该个说法不准确。Windows安全中心并没有任何漏洞。要骗过它,黑客需有该计算机的本地管理员权限。况且,黑客即使得到访问系统的授权,不管是直接获得还是通过用户执行一个附件取得,他感兴趣的东西决不会只是Windows 安全中心。在WinXP SP2系统中,新增了默认的Windows 防火墙,数据执行防护,Outlook Express附件管理等功能, 足以减少恶意程序执行的机会。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

TAG: 安全


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网