微软否认快捷方式缺陷 安全专家质疑
来源:岁月联盟
时间:2010-02-13
在Windows XP和IE环境中,我们可以轻易地制造这种情况:用户在IE的地址栏中输入一个Web 地址时━━例如www.microsoft.com ,浏览器没有显示该网页,而是启动了用户计算机上的一个可执行文件。
我们可以按如下步骤验证这一问题:
·右击桌面,创建一个新的快捷方式。
·将该快捷方式指向一个可执行文件━━例如c :/windows/system32/calc.exe.
·将该快捷方式命名为www.microsoft.com.
·启动IE并在地址栏中输入www.microsoft.com.
如果删除了该快捷方式或在“www ”前增添“http:// ”,IE就会象我们预想的那样连上互联网。
本周二,在向ZDNet Australia 发送的一份声明中,微软澳大利亚分部的首席安全顾问皮特表示,这不是一个安全缺陷,而是可以被合法应用软件使用的一项功能。他说,搞清楚安全问题和合法功能之间的差别是重要的。
据皮特称,这一快捷方式技巧能够被用来实现操作的自动化。机构和个人用户可能会要求或希望实现应用软件与IE联通过程的自动化,微软将这一功能看作是一项优势,它能够向用户提供一致和无缝的体验。
但是,安全专家认为这一功能是不必要的,并预计它会被恶意代码作者所利用。
市场调研公司Hydrasight的主管迈克尔向ZDNet Australia 表示,在Windows XP SP2+IE 环境中存在这一问题,但Firefox 用户是安全的。微软所声称的有用的功能已经多次被安全利用,这次也不例外。
Frost Sullivan澳大利亚分部的安全业务分析师詹姆士说,我能够想象得到的是,恶意代码作者一定会利用这一缺陷━━也许会佐以社会工程方面的技巧。