windows文件扩展名确认的漏洞
Posted on 八月 16rd, 2007 由 admin
热门问答:
推荐阅读
| · 650的两个bug |
| 摘要:bug一:先将手机号码存放在手机内,然后将号码复制到sim卡中并不保留原号码。此时手机电话本中会有空号码,对这些空号码进行操作手机就会死机。这个bug普遍存在,我试过几个机子都是这样! bug二:当电话本中存放的号码超过10个后,选择一个号码按选项键然后再按返回键。这时按选择键选择号码,到第十号码后继续向下选择就会跳入一个群组的修改界面,此时再按返回键...... |
| · 甲骨文获分析师乐观评论 股价反弹3% 服务器存储频道 |
| 摘要: 周三午盘,全球领先的资料库软件开发商甲骨文(orcl)的股价上涨3%以上,已从近三个月的最低点走出。一些华尔街分析师表示,对甲骨文将从更多企业开发和使用根据资料库分析客户和促进销售的应用程式中获益持乐观立场。 周三午盘,全球领先的资料库软件开发商甲骨文(orcl)的股价上涨3%以上,已从近三个月的最低点走出。一些华尔街分析师表示,对甲骨文将从更多企业开发和使用根据资料库分析客户和促进销售的应用程式中获益持乐观立场。...... |
正文
发布日期: 2000-9-1
更新日期: 2000-9-1
受影响的系统: microsoft windows 98
microsoft windows nt 4.0
microsoft windows nt 2000
描述:
微软windows处理文件扩展名的方式中存在一个潜在的漏洞。在通常情况下,当打开一种未知类型的文件时,一个对话框将会弹出来提示用户,并询问用户该使用什么应用程序来执行该文件。但对于微软office文档却不是这样处理的。
如果一个文件是用office应用程序制作的,并且文件扩展名被改成未知的文件类型,windows仍然会使用相应的office应用程序来打开该文件。据报道这是因为windows使用文件头信息来决定文件类型而不是根据文件名后缀本身。
如果一个恶意的用户将宏病毒嵌入到某个office文档中,并将文件名后缀改成.vi*,则此时就会出问题。决大多数反病毒软件并不检查后缀为.vi*的文件。因此隐藏在这样的office文档中的病毒就不会被检测到。
$#@60;* 来源:jonathan andrews jandrews@sqa-external.dttus.com *$#@62;
测试程序:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
参看上面的漏洞描述。
建议:
暂无。
讨论区