賽迪網 文/劉彥青

安全研究人員本周四警告稱，微軟IE瀏覽器拖放功能中的一個安全缺陷可能使數以百萬計的網民面臨受到黑客攻擊的危險。

據Secunia稱，這一缺陷影響在已經安裝SP1或SP2的Windows XP系統上運行的IE 5.01、5.5、6.0版本。Secunia對該缺陷的危險程度評級為“高危”，并建議用戶禁用IE瀏覽器中的“活動腳本”功能。 Secunia稱，這一缺陷是由從互聯網域向本地資源發出的拖放事件的不充分驗證造成的。黑客能夠在用戶的“啟動”文件夾中安置有危害的可執行文件，當Windows下次啟動時，該文件就會執行。

發現該缺陷的、代號為http-equiv的安全研究人員已經發布了一種概念證明型攻擊的代碼，當用戶播放偽裝成一個圖像文件的惡意文件時，就會在用戶的“啟動”文件夾中植入代碼。

Secunia公司警告說，盡管這一概念證明型攻擊代碼需要用戶執行拖放事件，但它可能被重寫為利用鼠標單擊事件發動攻擊。

這一缺陷與中國的安全研究人員劉迭玉(音譯)去年11月份發現的一個缺陷非常相似。這些缺陷使得用戶面臨系統被非法訪問、泄露機密資料等危險。