丹麥Secunia等于8月19日公開了在Internet Explorer（IE）中發(fā)現的新安全漏洞。如果用戶在做過手腳的Web網站上進行鼠標操作，就會把互聯(lián)網上的任意文件（比如病毒）下載到個人電腦上，下載時不會出現任何提示對話框等。目前補丁尚未公開，對策是將活動腳本設為無效等。

安全漏洞由“http-equiv”發(fā)現。在對其投至安全相關郵件列表的稿件進行檢測后，Secunia在自己的網站上公開了此次的漏洞。

導致此次安全漏洞的原因在于：IE沒有仔細檢查進行拖放等操作時產生的DHTML（動態(tài)HTML）事件。因此，如果在做過手腳的Web網站上進行拖放與點擊等鼠標操作，不向用戶發(fā)出任何警告就能把任意文件下載到個人電腦上。由于這時可由攻擊者指定下載方，因此可把下載內容下載到啟動文件夾中。

http-equiv公開的示范網站。拖放Web網頁上的圖像后，沒有發(fā)出警告就將放置在網站上的“無害”可執(zhí)行文件下載到了啟動文件夾中。重新啟動個人電腦之后，就會自動運行這一文件。雖然在這個演示中不進行拖放操作就不會下載，但如果突破這一安全漏洞，單擊就可能下載。

此次的安全漏洞可以稱為微軟2003年11月公開的“Internet Explorer 的累積性安全更新（824145）（MS03-048）”中包含的“拖放操作有關的漏洞”的“變種”，用戶受害的過程與影響大小是一樣的。

只要用戶沒有任何動作，就不會下載文件。但哪怕是“點擊鏈接”的動作都可能下載文件，因此屬于非常危險的安全漏洞。而微軟將“拖放操作有關的漏洞”的嚴重等級設為第二嚴重的“重要”。

目前美國微軟尚未公開安全信息與補丁等。Secunia提出的對策是將活動腳本設置為無效，或使用其他瀏覽器。當然，堅守安全對策“不靠近可疑Web網頁”也是非常重要的。