科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全画蛇添足 IE打印功能可泄漏敏感信息

画蛇添足 IE打印功能可泄漏敏感信息

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一位安全专家最近发现微软IE浏览器中存在一个安全漏洞,这种漏洞令别有用心者可以在网上得到5000多万份内藏有用户敏感信息的PDF文件。这些敏感信 息包括PDF文件在发布者机器上的保存位置,用户所使用的操作系统,用户的登录ID号等等。人们只要使用谷歌进行搜索,便可以搜到超过400万份内藏有能 显示出文件保存在用户C:盘中信息的PDF文档,加上保存在其它各个盘的PDF文档,总数有5000多万份。

来源:eNet 2009年11月25日

关键字: 信息安全 漏洞攻击 IE8安全性

  • 评论
  • 分享微博
  • 分享邮件

  一位安全专家最近发现微软IE浏览器中存在一个安全漏洞,这种漏洞令别有用心者可以在网上得到5000多万份内藏有用户敏感信息的PDF文件。这些敏感信 息包括PDF文件在发布者机器上的保存位置,用户所使用的操作系统,用户的登录ID号等等。人们只要使用谷歌进行搜索,便可以搜到超过400万份内藏有能 显示出文件保存在用户C:盘中信息的PDF文档,加上保存在其它各个盘的PDF文档,总数有5000多万份。

  这位安全专家发现,只要用户使用IE浏览器对PDF文档进行打印操作,那么便会向PDF文件中加入这些敏感信息。只要使用IE浏览器打印这些PDF文件,那么文件的完整本地保存地址便会被写入PDF文件中。虽然使用Adobe Acrobat等PDF阅读器无法看到这些信息,但人们只要使用Notepad记事本工具打开PDF文件,便可以轻易看到有关的记录内容。另外,在网上使用谷歌搜索引擎对PDF文件进行搜索,则也可以得到文件中保存的有关内容。

  虽然加入的只不过是文件的保存位置数据,但是这种数据却可以造成用户的敏感信息泄漏。举个例子,我们在网上找到的这一份PDF文件,其中便有"C:\Program Files\Wids7\WizardReport.htm"这样一条文件保存位置的记录。从这条记录中我们便能看出用户正在使用Windows操作系统,而且系统中还装有WIDS公司的软件产品。另外一些例子中,我们还可以看到有的PDF文件甚至还被存放在以用户名字命名的目录中。

  只有一种方法才能去掉这种额外的标记,那便是使用普通文本编辑器如记事本等对PDF文件进行修改,然后再保存PDF文件。

  这种Bug在所有版本的IE浏览器中都存在。一位微软的发言人则表示微软的工程师已经在对这种Bug进行研究。她在发来的邮件中称:“我们可以确认这并不算是一种漏洞。”不过Adobe公司目前仍未就此事件进行正面回复。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章