首页 > 软件资讯 > 正文

MSN Messenger等发现可调用任意程序的漏洞

2020-05-20 19:56:44 来源:偌偌网
>   在MSN Messenger、Microsoft Word与Mozilla(Windows版)等软件中相继发现了与“shell:”功能有关的安全漏洞。打开Web网页或点击链接后,个人电脑中的程 序可能会被任意运行。Mozilla已经公开了修正补丁与修正版本(日文),MSN Messenger与Word的对策就是不点击不可靠的链接。   “shell:”是Windows支持的URL处理器(handler),而URL处理器可以通过Web网页等启动应用功能。比如,系统中安装了Outlook 2002后,Outlook 2002便登记为URL处理器“outlook://”。如果使用这一URL处理器,可以通过点击链接来启动Outlook 2002。此次出现问题的“shell:”是调用shell(Explorer)的URL处理器,可以打开个人电脑中的文件或特殊文件夹(如在Internet Explorer中输入“shell:AppData”后,可以打开ApplicationData文件夹)。   通过“shell:”只能调用个人电脑中的文件。另外在调用文件时,无法提交参数。因此,即使应用Web网页与的“shell:”命令提交给Windows,危险也并不大。但是,存在通过其他手段启动恶意程序。另外,也可以作为寻找个人电脑中程序存在的其他安全脆弱性的手段。   安全公司Secunia表示,“由于‘shell:’功能本来就不安全,因此只允许可靠的资源访问”(英文)。此次在MSN Messenger、Microsoft Word与Mozilla(Windows版)等中发现的,就是不限制“shell:”向Windows提交的漏洞。   对于Windows版的Mozilla、Mozilla Firefox与Mozilla Thunderbird,7月7日公开了修正补丁与修正版的Mozilla 1.7.1/Firefox 0.9.2/Thunderbird 0.7.2(日文)。US-CERT还公开了将shell:设为无效的预防方法(英文)。   对于MSN Messenger 6.x与Microsoft Word 2002,Secunia对7月11日投往安全相关邮件列表的内容进行验证后,7月12日予以公开(英文)。目前尚未公开补丁等。Seunia提出的对策是:“在MSN Messenger中不点击链接”、“在Word中不点击来源不可靠的链接”。   此次有关“shell:”的安全漏洞,并不只限于MSN Messenger、Microsoft Word与Mozilla等。US-CERT指出,“所有将‘shell:’的URL提交给Windows的程序(如Internet Explorer与Outlook)都存在同样的漏洞”。
偌偌网