微軟拋棄了Internet Explorer（以下簡稱IE）去開發新的edge瀏覽器。被拋棄的IE卻並沒有從大家的電腦上離開，這不它又闖禍了：即便你不去主動打開它，也有可能在不經意間將硬盤上的文件泄露給黑客。

　　安全研究人員在上月27日向微軟通報了這個漏洞，涉及從Windows 7、Windows 10和Windows Server 2012 R2操作系統，影響面十分廣泛。但可能是微軟認爲時間上來不及，4月10日的月度更新中並沒有修復這個已經公佈的漏洞。

　　由於微軟拒絕爲修復該漏洞制定具體的時間表，安全研究人員John Page公開了概念驗證代碼和攻擊演示。視頻中一個特製的.MHT文件（單個文件的web檔案）成爲釣魚的手段，只要雙擊這個下載到本地的網頁文件，Windows會自動利用默認關聯的IE瀏覽器將其打開，此時電腦中的指定文件內容就會被傳送到遠程的服務器端。

　　演示使用了C:\Windows\system.ini作爲例子，事實上它還可以泄露其他被指定的文件。如通過特定的文件獲取到電腦上當前已經安裝的某個程序的版本，就可以針對特定版本的軟件漏洞作爲跳板，加速進行下一步入侵。該漏洞還能禁用IE的安全警報系統，在瀏覽器運行危險的ActiveX插件時將不會彈出安全警告內容。

　　根據NetMarketShare的統計，目前IE瀏覽器的市場佔有率已經下跌到7.34%左右。這個IE 0day漏洞的出現所能做的最好貢獻，恐怕就是讓IE市佔率進一步下降。微軟還不確定將在何時修復這個漏洞，目前可以通過從系統中卸載IE組件，或者更改.mht擴展名的軟件關聯來避免受到攻擊。

　　最後還有一個好消息，未來的微軟瀏覽器（edge）可能會比現在安全。因爲微軟已經在進行Chromium內核的edge瀏覽器內測。PCEVA小編在前幾天嘗試了這個內測版本，不過因爲老版蝸牛edge留下的糟糕印象，小編總感覺界面與之相似的新edge不夠快。你試過新edge瀏覽器了嗎？歡迎分享使用體驗。