北京時(shí)間2月5日消息，在周三的黑帽DC大會(huì)上，一位安全咨詢專家現(xiàn)場(chǎng)演示了如何利用微軟IE的一個(gè)漏洞，便可遠(yuǎn)程讀取肉雞電腦上的本地文件的方法，這也促使微軟為此發(fā)布了一個(gè)安全警告。

這一漏洞據(jù)說IE的所有版本都有，而且不受補(bǔ)丁修復(fù)的影響。這個(gè)漏洞是阿根廷的一位安全咨詢師Jorge Luis Alvarez Medina發(fā)現(xiàn)的，他在自己的演示中詳細(xì)說明了這種攻擊技巧。微軟則告誡擔(dān)憂這種類型攻擊的任何人，最好在“保護(hù)模式”下啟動(dòng)IE。

根據(jù)Medina的演示，IE的其他工作區(qū)還包括設(shè)置“IE網(wǎng)絡(luò)協(xié)議防范”，將互聯(lián)網(wǎng)和互聯(lián)網(wǎng)區(qū)域的安全級(jí)別設(shè)置為“高”，在互聯(lián)網(wǎng)和互聯(lián)網(wǎng)區(qū)域上禁用Active Scripting的用戶設(shè)置。

不過他也指出，因?yàn)檫@種攻擊好像只針對(duì)IE，所以用戶也可以考慮使用“不同的瀏覽器?！盡edina稱，安全補(bǔ)丁對(duì)這個(gè)漏洞似乎不起作用，因?yàn)樵撀┒窗囊恍┰O(shè)計(jì)功能與IE處理區(qū)域安全等級(jí)提升、HTML代碼以及MIME類型有關(guān)。

目前可以觸發(fā)這種攻擊的方法并不多見，因?yàn)樗嗌儆行?fù)雜，你必須“將所有這些功能綜合到一起才能構(gòu)建出攻擊的工具來，”Medina說。而引誘犧牲者上鉤的方法就是讓他去點(diǎn)擊含有惡意網(wǎng)站的鏈接。

他指出，IE的一個(gè)漏洞“在訪問相同資源時(shí)，其表現(xiàn)是不一致的。”Medina所揭示的這個(gè)漏洞基本上涉及的是“把一連串的漏洞都串在了一起。”他說他曾和微軟的安全團(tuán)隊(duì)做過對(duì)話，到目前為止，他得到的印象是說微軟認(rèn)為這個(gè)漏洞不是僅靠修復(fù)就能解決的，因?yàn)樵撀┒磳?shí)際上多半屬于瀏覽器基礎(chǔ)設(shè)計(jì)的問題。