Internet Explorer中的潘多拉魔盒　　　作者：江海

　　又是微软的"一不小心"，前几日从一个搞网络安全的朋友那里得到了这个可怕的消息，微软的ie浏览器被再次发现存在重大安全缺陷。
　　受影响的系统microsoft internet explorer 5.5（5.01，5.0）+microsoft windows 98（nt4，2000，95）。
这个漏洞是由于ie在处理mime头中content-type处指定的某些类型时比如"audio/x-wav"，存在问题，ie会把该邮件附件区的程序或者是脚本（比如批处理文件）当成多媒体下载并执行。攻击者可以利用这类缺陷在ie客户端执行任意命令甚至是应用程序。
　　更糟糕的是带有这样攻击手段的email所携带的攻击不需要你的确认就可以执行，也就说当你收到这样一封邮件并且在你的outlook/outlook express中看到它时，你，已经中招了。如果把这样一封邮件存成*.eml放到网页上，那么使用ie浏览的时候同样会受到攻击，甚至在资源浏览器中如果采用了web方式的文件预览也会有同样的效果。
　　为了做实验，朋友发了一个带wsh脚本的eml给我，在outlook express一看，我的系统用户中就加上了一个具有超级权限的帐号，我的机器可以说对他打开了门户。可以想见这个漏洞不补上骇客病毒又将大行其道了。
　　该漏洞的危害性非常巨大。微软尚未推出彻底解决问题的最新补丁。唯一避免法子就是将ie的安全级别设为禁止文件的下载，禁止以web预览方式使用资源管理器，并且关注微软最新补丁的推出。或者使用其他的浏览工具和邮件工具。