Mozilla的漏洞剛剛結束，微軟的又來了，而且更加危險。Windows操作系統(tǒng)中的一個并不常用的功能可以導致嚴重的網(wǎng)絡威脅。
    安全研究者Billy Rios和Nathan McFeters說他們已經(jīng)發(fā)現(xiàn)一個新的方法可以從受害者的計算機中竊取數(shù)據(jù)，方法就是利用Windows的瀏覽器通過URI（Uniform Resource IdentifIEr，統(tǒng)一資源標識符）引導應用程序這個過程中的漏洞。
    在過去幾個月里，自從Thor Larholm展示了如何使用URI技術欺騙IE瀏覽器發(fā)送惡意數(shù)據(jù)給Firefox以來，URI bug就已經(jīng)成了熱門話題，該漏洞允許攻擊者在用戶的PC上運行任意軟件程序。還沒過去多久，現(xiàn)在Rios和McFetters就展示了如何欺騙其他的瀏覽器和應用程序以達到類似的目標，目前的結果已經(jīng)顯示有很多種途徑可以達攻擊目的。
    （利用此漏洞）可以通過URI來竊取用戶計算機中的數(shù)據(jù)并遠程上傳內容給受害者。身為高級安全顧問的MvFetters說，這完全是通過應用程序提供的功能。
    Shavlik的首席安全師Eric Schultze說：這是黑客的美夢成真，而程序員則噩夢到來，在隨后幾個月里攻擊者們會找到多種多樣的方法使正常的程序做出不正常的事情來。
    通過使用自定義的URI協(xié)議名稱，軟件開發(fā)者們可以使用戶更加方便地使用軟件。Windows注冊表會跟蹤這些名稱并將其分配給相關程序，這樣任何時刻用戶都可以通過瀏覽器調用相關程序。
    例如AOL的即時信息客戶端使用了aim的名稱，因此點擊那些以aim:goim開頭的鏈接，或者在瀏覽器地址欄中輸入aim:goim，都會啟動AIM即時消息窗口。
    問題在于軟件開發(fā)者們忙著啟動程序，卻并未考慮到收到的數(shù)據(jù)可能來自攻擊者。
    URI的處理問題相當復雜，甚至對與軟件開發(fā)者來說也是如此。Mozilla最初以為Larholm的漏洞需要IE瀏覽器才能觸發(fā)，但后來發(fā)現(xiàn)并非如此，隨后的兩周Firefox團隊才補上這個漏洞。如果像Mozilla這樣的組織在理解URI的處理過程中都會遇到問題的話，更不用說那些小規(guī)模的開發(fā)團隊了。