微軟IE瀏覽器曝零日漏洞：一個老文件，可致係統文件遭竊

4月13日消息 據ZDNet報道，安全研究人員發布了一份Internet Explorer（IE瀏覽器）零日漏洞的詳細信息和概念驗證代碼。通過這一漏洞，黑客可以竊取Windows係統中的文件。

這一漏洞可以在用戶打開.mht文件時發動攻擊。MHT即MHTML Web Archive，是IE瀏覽器默認使用的保存網頁的方式。

這一方式主要對和IE瀏覽器相關，因為較新型的瀏覽器已經不再以MHT格式保存網頁，而是使用HTML格式，不過它們仍然支持處理MHT文件。

在Windows上，MHT文件在IE瀏覽器中是默認自動設置為打開的，同時IE也是MHT文件的默認打開程序，黑客要利用此漏洞會非常簡單。他們隻要通過電子郵件、即時消息等方式分發MHT文件即可。

安全研究員John Page稱，這一漏洞可能“導致本地文件暴露”，攻擊者也可以遠程偵察“安裝在本地的程序版本信息”。他表示，這一頁麵還可以自動化執行。

微軟於3月27日對此問題發布了公告，並於4月10日發給研究人員的消息中稱“考慮在未來的產品或服務中對此進行修複”。微軟也表示，不應輕視這個漏洞，已有網絡犯罪團體在過去幾年中，利用MHT文件進行網絡釣魚和惡意軟件分發。