【獵雲網（微信號：ilieyun）】4月15日報道（編譯：清酒）

　　安全研究員John Page發現了一個新的安全漏洞，黑客可以利用IE瀏覽器竊取Windows用戶的數據。最瘋狂的是：Windows用戶甚至都不用點開這個人人吐槽的瀏覽器，惡意軟件就能攻擊用戶電腦上的漏洞。

　　Page寫道：“如果用戶在本地打開一個特定的.MHT文件，IE瀏覽器就會很容易受到XML外部實體的攻擊。這可以讓遠程攻擊者潛在地竊取本地文件，並對本地安裝的程序版本信息進行遠程偵察。”

　　這意味着黑客可以利用.MHT文件爲所欲爲，這是IE用於其網絡存檔的文件格式。鑑於當前的Web瀏覽器通常不使用.MHT格式文件，因此當PC用戶嘗試訪問此文件時，Windows會默認打開IE。

　　要發起攻擊，只需誘使用戶打開通過電子郵件、messenger或其他文件傳輸服務接收到的附件。

　　“例如，對c:\Python27\NEWS的請求可以返回該程序的版本信息，”Page解釋說。“在本地打開惡意.MHT文件後，它就會啓動Internet Explorer。之後，用戶交互，例如重複標籤“Ctrl + K”以及其他交互，例如右鍵點擊網頁上的“打印預覽”或“打印”命令，也可能會觸發XXE漏洞。”

　　該漏洞已使用最新版本的IE 11進行了測試。它會影響Windows 7、Windows 10和Windows Server 2012 R2的用戶。

　　根據Page的說法，最令人擔憂的是，微軟表示只會在未來的更新中“考慮”對此漏洞進行修復。這位安全研究人員表示，他在3月份與微軟聯繫後纔將這一問題公之於衆。

　　雖然Internet Explorer的使用率不到網絡瀏覽器市場的10％，但這並不重要，因爲只要用戶的電腦上安裝了IE瀏覽器，這一漏洞就會危及用戶的隱私安全。

　　早在2019年，微軟網絡安全專家克里斯傑克遜敦促任何仍在使用Internet Explorer的人最終放棄它。