新年伊始，安全公司Secunia就針對Internet Explorer 5.01等版本的瀏覽器提出了中等緊急的安全警告。

　　根據(jù)Secunia的公告，IE瀏覽器的最新漏洞，也是2004年發(fā)現(xiàn)的第一個漏洞是“showHelp()”限制通過漏洞。這其實是由Arman Nayyeri于較早前發(fā)現(xiàn)的“showHelp()”漏洞的一個變形，同“可信任”站點有關。Secunia聲稱，有實驗證實該漏洞存在于安裝有Winamp 5的系統(tǒng)的IE 6中——盡管IE 6已安裝了所有補丁。

　　微軟設計IE時允許網(wǎng)站調(diào)用“showHelp()”功能，打開本地安裝的幫助文件壓縮文檔“CHM”。這可能包含了系統(tǒng)命令的參考論述并可執(zhí)行代碼取得登錄用戶的權(quán)限。通常情況下，IE允許被確認為“可信任”的站點打開本地安裝的CHM文件并不會對用戶構(gòu)成安全威脅。但是，惡意網(wǎng)站只要使用特殊的句法就可使IE將其他文件視為CHM文件而打開。如果計算機中安裝有如Winamp、XMLHTTP等允許網(wǎng)站在一個已知位置安放文件的程序時，IE的這個功能就可能會被利用。

　　Secunia也發(fā)布了一個攻擊實例，攻擊者可在默認位置安裝有Winamp的系統(tǒng)上運行任意代碼。

　　Arman Nayyeri發(fā)現(xiàn)的最新漏洞影響到IE 5.01、IE 5.5和IE 6。Secunia也提出了這一問題的解決方案：禁用動態(tài)腳本處理支持，只對信任站點激活該功能或使用具有內(nèi)容過濾功能的防火墻或HTTP代理來篩選同“showHelp()”相關的HTML網(wǎng)頁。