安全專家稱IE拖動漏洞嚴重

這個漏洞的實現過程是這樣的，網頁中含有一個很小的區域（比如：5x5像素），這個區域會自動跟隨鼠標。當用戶使用鼠標拖拽該網頁的滾動條時，一個隱藏的圖片（可以是木馬）在同一時間也被拖動了，只要一松開鼠標按鍵，這個隱藏圖片就會保存到開始菜單的啟動項中（注：要保證鼠標松開的位置在瀏覽器中）。

　　“在瀏覽窗口的時候，拖拽滾動條是很平常的事情，”安全專家說道，“但對于普通用戶來說，他們是無法接受一個陌生的程序此時會在機器中偷偷安裝?！?BR>
　　安全專家的建議：如果你已經安裝了sp2，在“Internet選項”選項的“安全”標簽里單擊“自定義級別”按鈕，在彈出的對話框中的“ActiveX 控件和插件”里禁用“二進制和腳本行為”。

　　安全專家還提到，他們僅花了二十分鐘便編寫了關于此漏洞的實現代碼，而遍布在世界各處的腳本研究高手將會有更多的時間完善這個漏洞攻擊代碼。安全專家提醒大家注意此漏洞的嚴重性。

漏洞演示:http://www.duba.net/download/soft/tdgdtld.rar

　　上周三，所有研究人員的目光都聚焦到預期的SP2查漏測試上。而最矚目的報告是：http-equiv研究員發現了一個危害甚高的IE拖放漏洞。

　　微軟回應：部分報告指出惡意用戶能使用該漏洞騙過WinXP SP2系統上的Windows 安全中心。該個說法不準確。Windows安全中心并沒有任何漏洞。要騙過它，黑客需有該計算機的本地管理員權限。況且，黑客即使得到訪問系統的授權，不管是直接獲得還是通過用戶執行一個附件取得，他感興趣的東西決不會只是Windows 安全中心。在WinXP SP2系統中，新增了默認的Windows 防火墻，數據執行防護，Outlook Express附件管理等功能， 足以減少惡意程序執行的機會。

原文轉自：http://www.anti-gravitydesign.com