北京時間2月5日消息，在周三的黑帽DC大會上，一位安全咨詢專家現(xiàn)場演示了如何利用微軟IE的一個漏洞，便可遠程讀取肉雞電腦上的本地文件的方法，這也促使微軟為此發(fā)布了一個安全警告。

這一漏洞據(jù)說IE的所有版本都有，而且不受補丁修復的影響。這個漏洞是阿根廷的一位安全咨詢師Jorge Luis Alvarez Medina發(fā)現(xiàn)的，他在自己的演示中詳細說明了這種攻擊技巧。微軟則告誡擔憂這種類型攻擊的任何人，最好在“保護模式”下啟動IE。

根據(jù)Medina的演示，IE的其他工作區(qū)還包括設置“IE網(wǎng)絡協(xié)議防范”，將互聯(lián)網(wǎng)和互聯(lián)網(wǎng)區(qū)域的安全級別設置為“高”，在互聯(lián)網(wǎng)和互聯(lián)網(wǎng)區(qū)域上禁用Active Scripting的用戶設置。

不過他也指出，因為這種攻擊好像只針對IE，所以用戶也可以考慮使用“不同的瀏覽器?！盡edina稱，安全補丁對這個漏洞似乎不起作用，因為該漏洞包含的一些設計功能與IE處理區(qū)域安全等級提升、HTML代碼以及MIME類型有關。

目前可以觸發(fā)這種攻擊的方法并不多見，因為它多少有些復雜，你必須“將所有這些功能綜合到一起才能構建出攻擊的工具來，”Medina說。而引誘犧牲者上鉤的方法就是讓他去點擊含有惡意網(wǎng)站的鏈接。

他指出，IE的一個漏洞“在訪問相同資源時，其表現(xiàn)是不一致的?！盡edina所揭示的這個漏洞基本上涉及的是“把一連串的漏洞都串在了一起。”他說他曾和微軟的安全團隊做過對話，到目前為止，他得到的印象是說微軟認為這個漏洞不是僅靠修復就能解決的，因為該漏洞實際上多半屬于瀏覽器基礎設計的問題。