微软公布新的Windows零日跨站点脚本漏洞 vulnerability变种

今天警告，未修补的漏洞微软Windows用户的一个新的，攻击者可以利用窃取的人将其安装恶意软件的信息和欺骗。
在一个 安全公告 发布日，微软承认一）错误在Windows'的MHTML协议（MIME HTML）的协议处理程序可以被用来攻击者通过在互联网上运行恶意脚本的浏览器（IE浏览器。

“最好的办法想到这是为了把它叫做一个跨端脚本vulnerability变种，”安德鲁说，风暴，在nCircle公司安全业务总监安全。

跨站点脚本漏洞，通常简写为XSS的，可以用来插入恶意脚本到一个网页，可以采取的会话控制。

“攻击者可以伪装成用户，并采取行动，如果他是在特定网站上你，”风暴。“如果你在Gmail.com或Hotmail.com的邮件时，他可以把你的电子邮件。”

微软阐述了威胁。

“这样的脚本可能会收集用户信息，例如电子邮件，欺骗浏览器显示的内容或以其他方式干扰用户的体验，说：”微软安全发言人，在后安吉拉葛恩，到 微软安全响应中心 （MSRC的）博客。

该漏洞在上周上市的中文网站WooYun.org发表验证的概念代码。

MHTML是一个网页的协议，它结合了多种不同格式的资源 - 图片，Java小程序，Flash动画及类似品 - 成一个文件。只有微软的IE浏览器和Opera Software的Opera支持原生的MHTML：谷歌的Chrome和苹果的Safari不和而Mozilla的Firefox可以，它需要一个附加的读，写的Mhtml文件。

沃尔夫冈Kandek，在Qualys的首席技术官指出，IE浏览器用户在最危险的。

“虽然该漏洞是在Windows组件位于Internet Explorer是唯一已知的攻击向量，说：”Kandek在一封电子邮件。“火狐和Chrome都没有影响他们的默认配置，因为他们不支持没有安装的MHTML特定加载的模块。”

所有受支持的Windows版本，包括Windows XP，Vista和Windows 7，包含有缺陷的协议处理程序，风暴的原因之一认为，将采用微软公司的时间拿出了修补。

“如果这只是在IE中，我看到他们获得了2月8日的补丁，”他说，指用于释放修复微软的下一个定期不定期的一天。“但是，这是植根于Windows和微软将不会采取任何机会。”

在一个补丁代替，微软建议用户通过运行锁定一个“Fixit”工具它提供的MHTML协议处理程序。该工具自动完成Windows注册表编辑过程中，而如果做一个不小心可能削弱个人电脑，并让IE用户继续运行的MHTML文件，其中包括透过警告一下脚本。

修补漏洞的Fixit小工具下载：

 该Fixit工具可以从 微软的支持站点 。

微软在处理协议处理程序安全漏洞之前，特别是在2007年时， 微软和Mozilla的 漏洞修补过类似的主张责任。

今天的另一个Windows漏洞确认增加，但尚未处理的已久的名单确认不固定的缺陷，微软。根据 微软的理货 ，有五个突出的弱点，需要注意。

五之一是还透露了相同的中文网站，发现讨论周五的漏洞。微软首次承认，在12月22日早些时候WooYun.org，发现错误后，法国安全公司Vupen发出了最基本的咨询表示，所有的IE浏览器的版本数周是处于危险之中。

微软承认，犯罪分子已经利用IE缺陷十二月，本月初发布了一个 第一的这款创新的 问题解决方法的。

今天， 微软 表示，它已经没有看到类似的活动的MHTML漏洞上。

“我们正在制订一项安全更新，以解决这个漏洞，我们正在监视威胁环境非常密切，”冈恩说，上周五的缺陷。