[视频]微软不急于修复IE11的零日漏洞 涉及古老的MHT文件格式

微软并不急于为这个零日漏洞打补丁（截图 via：SlashGear）

尽管现在的网页会被保存为 HTML 格式，但 IE11 还是保留了能够打开 MHT 格式文件的能力。然而安全研究员 John Page 指出：

问题在于，MHT 文件有两个特殊的属性 —— 首先，MHT 可在 Internet Explorer 中自动打开；其次，一个特制的 MHT 文件，可向远程代理（黑客）敞开访问本地文件的权限。

它甚至可以关闭任何有关的 ActiveX 对象（这是另一项‘史前技术’）、以及那些需要用户参与交互的警告。

Internet Explorer – XML External entity Injection 0day（via）

据悉，该漏洞波及 Windows 7、Windows 10、以及 Windows Server 2012 R2 操作系统中的 Internet Explorer 11 浏览器。

其实早在上月底，微软就已经知晓了该漏洞。遗憾的是，或许是考虑到 IE 的用户已经很少，软件巨头表示自己并不急于修复该漏洞。

本文素材来自互联网