Mozilla的漏洞剛剛結(jié)束，微軟的又來了，而且更加危險(xiǎn)。Windows操作系統(tǒng)中的一個(gè)并不常用的功能可以導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)威脅。 安全研究者Billy Rios和Nathan McFeters說他們已經(jīng)發(fā)現(xiàn)一個(gè)新的方法可以從受害者的計(jì)算機(jī)中竊取數(shù)據(jù)，方法就是利用Windows的瀏覽器通過URI（Uniform Resource IdentifIEr，統(tǒng)一資源標(biāo)識符）引導(dǎo)應(yīng)用程序這個(gè)過程中的漏洞。 在過去幾個(gè)月里，自從Thor Larholm展示了如何使用URI技術(shù)欺騙IE瀏覽器發(fā)送惡意數(shù)據(jù)給Firefox以來，URI bug就已經(jīng)成了熱門話題，該漏洞允許攻擊者在用戶的PC上運(yùn)行任意軟件程序。還沒過去多久，現(xiàn)在Rios和McFetters就展示了如何欺騙其他的瀏覽器和應(yīng)用程序以達(dá)到類似的目標(biāo)，目前的結(jié)果已經(jīng)顯示有很多種途徑可以達(dá)攻擊目的。 （利用此漏洞）可以通過URI來竊取用戶計(jì)算機(jī)中的數(shù)據(jù)并遠(yuǎn)程上傳內(nèi)容給受害者。身為高級安全顧問的MvFetters說，這完全是通過應(yīng)用程序提供的功能。 Shavlik的首席安全師Eric Schultze說：這是黑客的美夢成真，而程序員則噩夢到來，在隨后幾個(gè)月里攻擊者們會找到多種多樣的方法使正常的程序做出不正常的事情來。 通過使用自定義的URI協(xié)議名稱，軟件開發(fā)者們可以使用戶更加方便地使用軟件。Windows注冊表會跟蹤這些名稱并將其分配給相關(guān)程序，這樣任何時(shí)刻用戶都可以通過瀏覽器調(diào)用相關(guān)程序。 例如AOL的即時(shí)信息客戶端使用了aim的名稱，因此點(diǎn)擊那些以aim:goim開頭的鏈接，或者在瀏覽器地址欄中輸入aim:goim，都會啟動AIM即時(shí)消息窗口。 問題在于軟件開發(fā)者們忙著啟動程序，卻并未考慮到收到的數(shù)據(jù)可能來自攻擊者。 URI的處理問題相當(dāng)復(fù)雜，甚至對與軟件開發(fā)者來說也是如此。Mozilla最初以為Larholm的漏洞需要IE瀏覽器才能觸發(fā)，但后來發(fā)現(xiàn)并非如此，隨后的兩周Firefox團(tuán)隊(duì)才補(bǔ)上這個(gè)漏洞。如果像Mozilla這樣的組織在理解URI的處理過程中都會遇到問題的話，更不用說那些小規(guī)模的開發(fā)團(tuán)隊(duì)了。