微软否认快捷方式缺陷 安全专家质疑

微软否认快捷方式缺陷 安全专家质疑     微软否认一种Windows 快捷方式技巧是安全缺陷。这一技巧使用户在IE中输入一个可执行文件名时，可执行文件就会运行。 
    在Windows XP和IE环境中，我们可以轻易地制造这种情况：用户在IE的地址栏中输入一个Web 地址时━━例如www.microsoft.com ，浏览器没有显示该网页，而是启动了用户计算机上的一个可执行文件。

我们可以按如下步骤验证这一问题：

·右击桌面，创建一个新的快捷方式。

·将该快捷方式指向一个可执行文件━━例如c ：/windows/system32/calc.exe.

·将该快捷方式命名为www.microsoft.com.

·启动IE并在地址栏中输入www.microsoft.com.

    如果删除了该快捷方式或在“www ”前增添“http:// ”，IE就会象我们预想的那样连上互联网。

    本周二，在向ZDNet Australia 发送的一份声明中，微软澳大利亚分部的首席安全顾问皮特表示，这不是一个安全缺陷，而是可以被合法应用软件使用的一项功能。他说，搞清楚安全问题和合法功能之间的差别是重要的。

    据皮特称，这一快捷方式技巧能够被用来实现操作的自动化。机构和个人用户可能会要求或希望实现应用软件与IE联通过程的自动化，微软将这一功能看作是一项优势，它能够向用户提供一致和无缝的体验。

    但是，安全专家认为这一功能是不必要的，并预计它会被恶意代码作者所利用。

    市场调研公司Hydrasight的主管迈克尔向ZDNet Australia 表示，在Windows XP SP2+IE 环境中存在这一问题，但Firefox 用户是安全的。微软所声称的有用的功能已经多次被安全利用，这次也不例外。

    Frost Sullivan澳大利亚分部的安全业务分析师詹姆士说，我能够想象得到的是，恶意代码作者一定会利用这一缺陷━━也许会佐以社会工程方面的技巧。