Windows新的URI漏洞再现比前更危险

Mozilla的漏洞刚刚结束，微软的又来了，而且更危险。Windows操作系统中不常见的功能会导致严重的网络威胁。

安全研究人员比利·里奥斯(Billy Rios)和内森·麦克菲特(Nathan McFeters)表示，他们发现了一种窃取受害者电脑数据的新方法，即使用Windows浏览器，通过URI(Uniform Resource IdentifIEr，统一资源标识符)启动应用程序。

在过去的几个月里，自从Thor Larholm展示了如何使用URI技术欺骗IE浏览器向Firefox发送恶意数据以来，URI bug就成为了一个热门话题。该漏洞允许攻击者在用户的电脑上运行任意软件程序。不久之后，Rios和McFetters展示了如何欺骗其他浏览器和应用程序来实现类似的目标。目前的结果已经表明，攻击的方式有很多种。

(利用此漏洞)可以通过URIs窃取用户电脑中的数据，并远程上传内容给受害者。高级安全顾问MvFetters表示，这完全是通过应用程序提供的功能。

Shavlik首席安全官埃里克·舒尔茨(Eric Schultze)说:这是黑客的梦想成真，而程序员的噩梦来临。在接下来的几个月里，攻击者会找到各种方法让正常的程序做不正常的事情。

通过使用自定义的URI协议名称，软件开发人员可以使用户更容易使用软件。Windows注册表会跟踪这些名称，并将它们分配给相关程序，以便用户可以随时通过浏览器调用相关程序。

例如，AOL的即时通讯客户端使用名称aim，因此单击那些以aim:goim开头的链接或在浏览器的地址栏中键入aim:goim将启动aim即时通讯窗口。

问题是软件开发者忙于启动程序，却没有考虑到接收到的数据可能来自攻击者。

URIs的处理非常复杂，即使对于软件开发人员来说也是如此。Mozilla最初认为Larholm的漏洞需要IE浏览器来触发，但后来发现事实并非如此。接下来的两周，火狐团队修补了这个漏洞。如果像Mozilla这样的组织在了解URIs的过程中遇到问题，更别说那些小规模的开发团队了。