警惕!IE文件下载窗口欺骗漏洞zz - Internet版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Internet版 - 警惕!IE文件下载窗口欺骗漏洞zz

相关主题
● 恶意JPEG文件zz	● 使用firefox一问
● 紧急求救!	● IE 6 XP 没有办法用了？
● a question about popo	● 想破了脑袋也没想出来，急问各位大侠：如何在线打开pdf表格！
● 这是不是病毒啊？http://ideo.ligos.com	● 微软：2027年“搜索对话框”将彻底消失（转载）
● 两个PDA之间如何直接通讯?	● 如何破解不让使用鼠标右键的网站（转）
● 近日Gmail别来无	● 请教netmeeting的问题
● 突然上不了MSN，牛牛支支招吧，叩谢。	● [转载] 机器上网时总是会弹出“信使服务”窗口？是病毒吗？
● 请问和国内亲人视频聊天软件	● 求助!点右键save target as.. , never work!

相关话题的讨论汇总
话题: 下载话题: ie话题: 窗口话题: 文件话题: jpeg

进入Internet版参与讨论

(共1页)

x*n
发帖数: 5

千龙网讯 7月13日，我国著名反病毒厂商江民科技反病毒专家监测到，IE文件下载窗口存
在文件名称和文名类型欺骗漏洞，利用该漏洞，黑客可以为一个文件下载链接写一段脚本
程序，使得该链接被点击时，IE会自动显示一个无边框的弹出窗口，恰好遮住“文件下载
”对话框上有关要下载的文件名称和类型等信息。用户看到的文件名和类型将是弹出窗口
上的任意信息，有可能被假相欺骗，下载并运行恶意程序。
江民反病毒专家还列举了一个利用该漏洞的具体实例。
用户点击了某个链接，IE弹出了“文件下载”对话框，如图1：
图1
根据对话框显示，即将被下载的文件是sexycoeds.jpg，文件类型是JPEG图片。JPEG
图片是安全的，所以用户很可能继续点击“打开”或“保存”按钮，如果这样就中招了。
此时把“文件下载”窗口拖拽到另一个位置，恶意代码的险恶用心就一目了然了。
图2
从图2可以清楚的看到，文件名称sexycoeds.jpg和文件类型JPEG image都是假的，它
们是一个弹出窗口（已用红色标记）上的文本，而真正的文件名和文件类型信息被这个弹
出窗口遮盖了，现在才露了出来。要是刚才点击了 “打开”或“保存”按

(共1页)

进入Internet版参与讨论

相关主题
● 求助!点右键save target as.. , never work!	● 两个PDA之间如何直接通讯?
● 求救：www.poppuers.com弹出的广告窗口怎么办？详细见内	● 近日Gmail别来无
● BT带来的弹出窗口如何消去?	● 突然上不了MSN，牛牛支支招吧，叩谢。
● 谁知道这个网站www.jixian.net？	● 请问和国内亲人视频聊天软件
● 恶意JPEG文件zz	● 使用firefox一问
● 紧急求救!	● IE 6 XP 没有办法用了？
● a question about popo	● 想破了脑袋也没想出来，急问各位大侠：如何在线打开pdf表格！
● 这是不是病毒啊？http://ideo.ligos.com	● 微软：2027年“搜索对话框”将彻底消失（转载）

相关话题的讨论汇总
话题: 下载话题: ie话题: 窗口话题: 文件话题: jpeg

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天