7月6日消息,微软称,能够在用户向ie浏览器输入一个网络地址的时候启动一个可执行文件的windows快捷方式“决窍”并不是安全漏洞。
使用windows xp和ie浏览器,用户可以向浏览器输入网络地址,如www.microsoft.com。ie浏览器不是启动一个网站而是能够执行一个位于用户计算机中的可执行文件。
要测试这个所谓的“窍门”,可以试验如下的方法:
·用鼠标右键点击桌面创建一个新的快捷方式。
·把快捷方式指向一个可执行文件,如c:windowssystem32calc.exe
·调用快捷方式www.microsoft.com。
·启动ie浏览器,在地址栏输入“www.microsoft.com”。
如果后来删除这个快捷方式,或者在浏览器的地址栏中的“www”前面增加“http://”的字符,ie浏览器将再一次按照预期连接到互联网。
微软澳大利亚首席安全顾问peter watson本周二向zdnet澳大利亚网站发表声明说,这不是安全漏洞,实际上是合法的应用程序使用的一种功能。
watson说,澄清安全问题和合法的功能之间的差别是非常重要的。安全漏洞能够帮助攻击者做他们办不到的事情。而这个快捷方式的情况却不是这样。用户合法安装在计算机中的软件确实需要ie浏览器提供的这种功能。
据watson说,这种快捷方式可能帮助用户提高自动化程度。例如,如果你需要运行一个拨号网络连接去连接一个网站。这个拨号连接可能称作“connect to mysite.com”。在这种情况下,你会发现windows为合法软件提供的这种灵活性是多么重要。
然而,一些安全分析师认为,这种独特的功能是不必要的,并且预计恶意的软件作者可以把这个功能当作一种安全漏洞加以利用。
(禾子编译)
