IE漏洞扯上Windows Media Player

一位著名的网络安全专家周二公布只要利用Windows Media Player一个已知的安全漏洞就可让IE6.0新增的隐私强化功能全部泡汤。

微软一直强调IE6.0的隐私性大幅提升，包括支持最近才通过的P3P标准(Platform for Privacy Preferences)。P3P可让使用者掌控更多常被网站用来追踪网友行踪的cookies。

不过本周计算机隐私与安全顾问Richard Smith警告，有心人士只需利用Windwos Media Player所产生的一组特定ID便可绕过微软在IE浏览器中所设的重重安全关卡。因此，不肖网站可藉此设立所谓的“supercookie”(威力cookie)，追踪IE与网景浏览器用户在网络上的一举一动，不管使用者设定了多高层级的隐私权限都无用。

“只需在网页上写一段JavaScript程序，网站就可直接抓取每个网友计算机中的Windows Media Player辨识号码(ID)。”Smith表示。“网站便可利用此一辨识码追踪网友在网络上的行踪。”

虽然微软已经提供了修复程序，但Smith表示此一解决方式还不够周密。“许多人从没开启过Windows Media Player，但还是会深受其害。”

Smith是在去年三月便已发现此一问题并通知微软，该公司则在五月发出修正程序，让网友更改Windows Media Player的默认值。使用Media Player 6.4与7.1版本的用户可直接关闭“Allow Internet Sites to uniquely identify your player”选项(允许网站追踪您的播放器)。另外，用户也可选择卸载Windows Media Player或关闭JavaScript。

“通常这类隐私问题并不在我们安全论坛的讨论范围内，但以此例而言，网友其实只需下载更新程序并更动设定值便可解决此一问题了。”一位微软代表在email中如此表示。

不过Smith表示许多人并不了解他们还需更动Windows Media Player的设定值才能实质解决IE浏览器的这个大漏洞。

编辑：文舒
查看本文来源