微软官网今天发表安全公告KB980088，承认IE浏览器中存在允许利用文件名或路径直接控制文件的漏洞，不过微软正在进一步调查。据悉该漏洞会导致信息泄露，微软已将该漏洞标识为最高级别，该漏洞可能影响到的IE浏览器版本包括windows 2000 IE5/IE6版本和所有windows xp IE6/IE7/IE8等版本以及那些关闭了IE保护模式的用户。

　　据了解，美国核心安全科技公司（CST）在本周召开的世界黑帽（BlackHat）大会上，首次披露了这个安全漏洞。

　　此外，CST安全工程师Medina还演示了黑客们是如何利用该漏洞读取IE用户的每一个文件夹的。

　　IE中的常用功能，比如URL白名单、文件分享机制能帮助恶意程序伪装成合法身份。如此一来，这些不起眼的功能设置本身是无害的，但一旦合并后就可能造成非常严重的安全隐患。

　　微软官方建议用户启动浏览器中的数据执行保护模式，该功能在Vista以后的系统中自动开启。

　　微软在发布的一份安全预告中指出不良分子可能会利用该漏洞设计专门的网站进行攻击或者利用用户上传的文档或恶意广告借助网站发起攻击，不过现在并未出现基于该漏洞进行攻击的情况。

　　据悉，该漏洞仅将影响win XP的用户，因为Vista和win 7系统中IE浏览器是在“保护模式”中运行的。

　　杀毒软件麦克菲(McAfee)发言人Joris Evers表示尽管攻击者不能利用该漏洞完全控制受害者的系统，但是“这是一个非常严重的安全问题，因为受害者的个人信息或系统信息将被完全暴露，攻击者可能将其用于进一步的攻击。”

　　微软表示一旦完成相关调查，将立即采取适当的行动保护用户，包括通过每月发布的补丁提供一个安全更新、在补丁周期之外提供补丁或者提供额外的指南帮助用户保护自己。在相关补丁未发布前，用户也可以通过微软Fix it为IE6加载保护模式，微软还建议用户遵从“保护你的计算机”向导，启动防火墙，对软件进行及时升级，安装杀毒软件等。