海浩网论坛

标题: IE的“图片另存为”功能存在安全漏洞 [打印本页]

作者: xeen 时间: 2004-12-3 16:01:32 标题: IE的“图片另存为”功能存在安全漏洞

日经BP网报道：丹麦Secunia近日公布了Internet Explorer（IE）的安全漏洞。恶意利用该安全漏洞，可将危险文件伪装成图像文件诱使用户下载。事实上这种文件已经出现。Windows XP SP2也受该漏洞影响。尚未公开补丁。应对措施是将“隐藏已知文件类型的扩展名”设为无效。

此次发现的安全漏洞的起因于当于Web网页中保存图像文件时，有时IE会擅自去除文件扩展名。具体在右键点击鼠标网页图像并选择“图片另存为”命令保存该图像时发生。当鼠标指定的图像文件名含有多个扩展名时，IE将去除最后面的扩展名后保存。

例如，如果图像文件名为“malicious.hta.jpg”，将保存为“malicious.hta”。如果malicious.hta.jpg中含有恶意脚本代码，当用户执行保存为malicious.hta的文件（打开）时，Windows将该文件解释为HTML应用软件（.hta）从而执行其中的代码。换句话说，恶意网站管理员可诱使用户用任意扩展名保存含有恶意脚本代码的图像文件。

应对措施是在“工具”菜单“文件夹选项”设置中的“隐藏已知文件类型的扩展名”设为无效。缺省设为有效。

将“隐藏已知文件类型的扩展名”设为无效（钩掉），并不仅仅有助于对付此次发现的安全漏洞。过去就曾多次收到恶意利用该“功能”的方法。

作者: lzw 时间: 2004-12-3 16:19:41

这是正常的做法，应该很多人都知。

作者: peatson 时间: 2004-12-3 16:33:35

楼上的应该只是治标不治本吧

作者: 老猫 时间: 2004-12-3 17:01:15

呵呵！！我从来一装完系统就设置成那样的！如果看不到文件后续名就不舒服！

作者: Kirst 时间: 2004-12-3 17:37:12

SHS文件就不显示

作者: 五加一 时间: 2004-12-3 18:40:02

关了没坏处。。。呵呵

作者: 笑傲江湖 时间: 2004-12-3 18:59:14

这也算漏洞？那Windows就别用了吧

作者: 寻找周杰伦 时间: 2004-12-3 19:05:52

可怕啊

作者: 夏夜星空 时间: 2004-12-3 19:36:52

最初由 wong1001 发布
[B]卡卡卡，“应对措施是在“工具”菜单“文件夹选项”设置中的“隐藏已知文件类型的扩展名”设为无效。缺省设为有效。 ”是我每次装系统必须做的 [/B]

同~

作者: ysq 时间: 2004-12-3 20:52:00

同上。

作者: 四季 时间: 2004-12-3 21:53:29

靠！病毒防不胜防！

作者: daydaymovie 时间: 2004-12-3 22:44:12

2003默认就是！~

作者: xineohp 时间: 2004-12-3 23:30:33

好像不是太大的问题

作者: 弯折 时间: 2004-12-3 23:34:16

..........................

欢迎光临海浩网论坛 (http://bbs.highot.net/)