[转载] 警惕!IE文件下载窗口欺骗漏洞zz# Windows - 看得见风景的窗口
x*n
1 楼
【 以下文字转载自 Internet 讨论区,原文如下 】
发信人: xan (pricker), 信区: Internet
标 题: 警惕!IE文件下载窗口欺骗漏洞zz
发信站: Unknown Space - 未名空间 (Fri Sep 24 13:43:31 2004) WWW-POST
千龙网讯 7月13日,我国著名反病毒厂商江民科技反病毒专家监测到,IE文件下载窗口存
在文件名称和文名类型欺骗漏洞,利用该漏洞,黑客可以为一个文件下载链接写一段脚本
程序,使得该链接被点击时,IE会自动显示一个无边框的弹出窗口,恰好遮住“文件下载
”对话框上有关要下载的文件名称和类型等信息。用户看到的文件名和类型将是弹出窗口
上的任意信息,有可能被假相欺骗,下载并运行恶意程序。
江民反病毒专家还列举了一个利用该漏洞的具体实例。
用户点击了某个链接,IE弹出了“文件下载”对话框,如图1:
图1
根据对话框显示,即将被下载的文件是sexycoeds.jpg,文件类型是JPEG图片。JPEG
图片是安全的,所以用户很可能继续点击“打开”或“保存”按钮,如果这样就中招了。
此时把“文件下载”窗口拖拽到
发信人: xan (pricker), 信区: Internet
标 题: 警惕!IE文件下载窗口欺骗漏洞zz
发信站: Unknown Space - 未名空间 (Fri Sep 24 13:43:31 2004) WWW-POST
千龙网讯 7月13日,我国著名反病毒厂商江民科技反病毒专家监测到,IE文件下载窗口存
在文件名称和文名类型欺骗漏洞,利用该漏洞,黑客可以为一个文件下载链接写一段脚本
程序,使得该链接被点击时,IE会自动显示一个无边框的弹出窗口,恰好遮住“文件下载
”对话框上有关要下载的文件名称和类型等信息。用户看到的文件名和类型将是弹出窗口
上的任意信息,有可能被假相欺骗,下载并运行恶意程序。
江民反病毒专家还列举了一个利用该漏洞的具体实例。
用户点击了某个链接,IE弹出了“文件下载”对话框,如图1:
图1
根据对话框显示,即将被下载的文件是sexycoeds.jpg,文件类型是JPEG图片。JPEG
图片是安全的,所以用户很可能继续点击“打开”或“保存”按钮,如果这样就中招了。
此时把“文件下载”窗口拖拽到