Messenger等发现可调用任意程序的漏洞？MSN

在上一篇文章中，小编为您详细介绍了关于《XP的自定义应用提高工作效率？八则Word》相关知识。 本篇中小编将再为您讲解标题Messenger等发现可调用任意程序的漏洞？MSN。

> 　　在MSN Messenger、Microsoft Word与Mozilla（Windows版）等软件中相继发现了与“shell:”功能有关的安全漏洞。打开Web网页或点击链接后，个人电脑中的程 序可能会被任意运行。Mozilla已经公开了修正补丁与修正版本（日文），MSN Messenger与Word的对策就是不点击不可靠的链接。

　　“shell:”是Windows支持的URL处理器（handler），而URL处理器可以通过Web网页等启动应用功能。比如，系统中安装了Outlook ②⓪⓪②后，Outlook ②⓪⓪②便登记为URL处理器“outlook://”。如果使用这①URL处理器，可以通过点击链接来启动Outlook ②⓪⓪②。此次出现问题的“shell:”是调用shell（Explorer）的URL处理器，可以打开个人电脑中的文件或特殊文件夹（如在Internet Explorer中输入“shell:AppData”后，可以打开ApplicationData文件夹）。

　　通过“shell:”只能调用个人电脑中的文件。另外在调用文件时，无法提交参数。因此，即使应用Web网页与html文件的“shell:”命令提交给Windows，危险也并不大。但是，存在通过其他手段启动恶意程序。另外，也可以作为寻找个人电脑中程序存在的其他安全脆弱性的手段。

　　安全公司Secunia表示，“由于‘shell:’功能本来就不安全，因此只允许可靠的资源访问”（英文）。此次在MSN Messenger、Microsoft Word与Mozilla（Windows版）等中发现的，就是不限制“shell:”向Windows提交的漏洞。

　　对于Windows版的Mozilla、Mozilla Firefox与Mozilla Thunderbird，⑦月⑦日公开了修正补丁与修正版的Mozilla ①.⑦.①／Firefox ⓪.⑨.②／Thunderbird ⓪.⑦.②（日文）。US-CERT还公开了将shell:设为无效的预防方法（英文）。

　　对于MSN Messenger ⑥.x与Microsoft Word ②⓪⓪② · Secunia对⑦月①①日投往安全相关邮件列表的内容进行验证后，⑦月①②日予以公开（英文）。目前尚未公开补丁等。Seunia提出的对策是：“在MSN Messenger中不点击链接”、“在Word中不点击来源不可靠的链接”。

　　此次有关“shell:”的安全漏洞，并不只限于MSN Messenger、Microsoft Word与Mozilla等。US-CERT指出，“所有将‘shell:’的URL提交给Windows的程序（如Internet Explorer与Outlook）都存在同样的漏洞”。

编后语：关于《Messenger等发现可调用任意程序的漏洞？MSN》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《新内核于12月份发布？Linux2.6将有四大更新》，感兴趣的同学可以点击进去看看。