TAIWAN
2003-12-31, 09:22 AM
Microsoft I.E.檔案下載警告漏洞
由於 Microsoft Internet Explorer 不正確處理部分URL,遠端攻擊者可以利用這個漏洞建立惡意WEB連接,會提示不正確的安全警告,透過更改檔案名稱,攻擊者可以欺騙瀏覽器,繞過檔案下載的POPO警告窗。
如建立以下的 WEB 連接時 http://www.example.com/file.exe?.html 瀏覽器會顯示這個檔案是html類型,而不是exe執行檔案類型,這會使用戶在忽略的情況下,下載到惡意檔案。 :D
由於 Microsoft Internet Explorer 不正確處理部分URL,遠端攻擊者可以利用這個漏洞建立惡意WEB連接,會提示不正確的安全警告,透過更改檔案名稱,攻擊者可以欺騙瀏覽器,繞過檔案下載的POPO警告窗。
如建立以下的 WEB 連接時 http://www.example.com/file.exe?.html 瀏覽器會顯示這個檔案是html類型,而不是exe執行檔案類型,這會使用戶在忽略的情況下,下載到惡意檔案。 :D