丹麦安全预警公司Secunia于当地时间4月1日宣布Internet Explorer（IE）中存在能伪装状态栏的安全漏洞（英文）。HTML邮件的解释（Rendering）中使用IE的Outlook Express（OE）也将受到影响。目前尚未公布补丁，对策是“不要点击可疑的链接”与“设置成用文本格式显示HTML邮件”等。

　　此次公布的安全漏洞的“特点”是无需使用脚本就可以伪装。在IE（以及使用IE的OE等）中，鼠标指向链接时，会在左下角显示该链接的URL，这一显示URL的部分就是状态栏。

　　如果使用脚本等很容易伪装状态栏。正因为如此，在IE的安全设置中，设置成解释脚本时（如默认状态下为“互联网”区域），很容易被伪装。所以没有进行严格的安全设置时，切勿过于相信状态栏的显示。

　　反之，在严格进行安全设置时（如默认状态下为“受限站点区域”），由于不解释脚本等，可以在一定程度上信任状态栏的显示。由于OE中默认状态下设置的是“受限制的站点”，因此如果堵塞了以前发现的安全漏洞，可以在一定程度上信任状态栏的显示（参阅本站报道）。

　　然而，如果使用此次公布的安全漏洞，无需使用脚本就可以伪装状态栏的显示。具体而言，就是可以使用表单标记（Form Tag）伪装。因此，即使是在受限制的站点显示HTML邮件的OE，状态栏也存在被伪装的风险。

　　此次的安全漏洞，极有可能被Phishing（欺诈活动）等恶意利用（参阅本站报道），OE用户尤其要提高警惕。美国微软尚未公开安全信息与补丁。目前能想到的对策就是不要点击可疑的链接，另一个有效措施是用文本格式显示所有的邮件。虽然HTML邮件的表达力强，但可能会被以用户无法识别的形式恶意做上手脚。

　　从安全角度讲，最好是“总以文本格式显示邮件，只在阅读没有问题的HTML邮件时才以HTML格式显示邮件”。在OE的“工具”→“选项”菜单中，很容易将“阅读”标记切换为“以明文阅读所有信息”。（记者：胜村幸博）

上一篇:网上多精彩—浅析品牌主板刷新软件

下一篇:“网络天空”变种没完没了病毒邮件删到人手软