IE又闯祸：黑客隔空取文件易如反掌 微软拒绝立即修复

微软抛弃了Internet Explorer（以下简称IE）去开发新的edge浏览器。被抛弃的IE却并没有从大家的电脑上离开，这不它又闯祸了：即便你不去主动打开它，也有可能在不经意间将硬盘上的文件泄露给黑客。

安全研究人员在上月27日向微软通报了这个漏洞，涉及从Windows 7、Windows 10和Windows Server 2012 R2操作系统，影响面十分广泛。但可能是微软认为时间上来不及，4月10日的月度更新中并没有修复这个已经公布的漏洞。

由于微软拒绝为修复该漏洞制定具体的时间表，安全研究人员John Page公开了概念验证代码和攻击演示。视频中一个特制的.MHT文件（单个文件的web档案）成为钓鱼的手段，只要双击这个下载到本地的网页文件，Windows会自动利用默认关联的IE浏览器将其打开，此时电脑中的指定文件内容就会被传送到远程的服务器端。

演示使用了C:\Windows\system.ini作为例子，事实上它还可以泄露其他被指定的文件。如通过特定的文件获取到电脑上当前已经安装的某个程序的版本，就可以针对特定版本的软件漏洞作为跳板，加速进行下一步入侵。该漏洞还能禁用IE的安全警报系统，在浏览器运行危险的ActiveX插件时将不会弹出安全警告内容。

根据NetMarketShare的统计，目前IE浏览器的市场占有率已经下跌到7.34%左右。这个IE 0day漏洞的出现所能做的最好贡献，恐怕就是让IE市占率进一步下降。微软还不确定将在何时修复这个漏洞，目前可以通过从系统中卸载IE组件，或者更改.mht扩展名的软件关联来避免受到攻击。

最后还有一个好消息，未来的微软浏览器（edge）可能会比现在安全。因为微软已经在进行Chromium内核的edge浏览器内测。PCEVA小编在前几天尝试了这个内测版本，不过因为老版蜗牛edge留下的糟糕印象，小编总感觉界面与之相似的新edge不够快。你试过新edge浏览器了吗？欢迎分享使用体验。