警惕!IE文件下载窗口欺骗漏洞zz# Internet - 有缘千里一线牵
x*n
1 楼
千龙网讯 7月13日,我国著名反病毒厂商江民科技反病毒专家监测到,IE文件下载窗口存
在文件名称和文名类型欺骗漏洞,利用该漏洞,黑客可以为一个文件下载链接写一段脚本
程序,使得该链接被点击时,IE会自动显示一个无边框的弹出窗口,恰好遮住“文件下载
”对话框上有关要下载的文件名称和类型等信息。用户看到的文件名和类型将是弹出窗口
上的任意信息,有可能被假相欺骗,下载并运行恶意程序。
江民反病毒专家还列举了一个利用该漏洞的具体实例。
用户点击了某个链接,IE弹出了“文件下载”对话框,如图1:
图1
根据对话框显示,即将被下载的文件是sexycoeds.jpg,文件类型是JPEG图片。JPEG
图片是安全的,所以用户很可能继续点击“打开”或“保存”按钮,如果这样就中招了。
此时把“文件下载”窗口拖拽到另一个位置,恶意代码的险恶用心就一目了然了。
图2
从图2可以清楚的看到,文件名称sexycoeds.jpg和文件类型JPEG image都是假的,它
们是一个弹出窗口(已用红色标记)上的文本,而真正的文件名和文件类型信息被这个弹
出窗口遮盖了,现在才露了出来。要是刚才点击了 “打开”或“保存”按
在文件名称和文名类型欺骗漏洞,利用该漏洞,黑客可以为一个文件下载链接写一段脚本
程序,使得该链接被点击时,IE会自动显示一个无边框的弹出窗口,恰好遮住“文件下载
”对话框上有关要下载的文件名称和类型等信息。用户看到的文件名和类型将是弹出窗口
上的任意信息,有可能被假相欺骗,下载并运行恶意程序。
江民反病毒专家还列举了一个利用该漏洞的具体实例。
用户点击了某个链接,IE弹出了“文件下载”对话框,如图1:
图1
根据对话框显示,即将被下载的文件是sexycoeds.jpg,文件类型是JPEG图片。JPEG
图片是安全的,所以用户很可能继续点击“打开”或“保存”按钮,如果这样就中招了。
此时把“文件下载”窗口拖拽到另一个位置,恶意代码的险恶用心就一目了然了。
图2
从图2可以清楚的看到,文件名称sexycoeds.jpg和文件类型JPEG image都是假的,它
们是一个弹出窗口(已用红色标记)上的文本,而真正的文件名和文件类型信息被这个弹
出窗口遮盖了,现在才露了出来。要是刚才点击了 “打开”或“保存”按