关于InternetExplorer 浏览器存在XXE漏洞的预警通报

近日，相关网络安全研究人员公开披露最新InternetExplorer 11 XXE漏洞，成功利用该漏洞可导致本地文件泄露。该漏洞安全级别为“高危”。现将漏洞详情通报如下：

一、漏洞情况

MHT是InternetExplorer用于脱机下载和保存文件的格式。可用于保存Web内容或电子邮件。MHT文件在Windows上默认由InternetExplorer打开，此次漏洞源于InternetExplorer对MHT文件处理不当，用户在本地打开特制的.MHT文件将导致InternetExplorer易受XXE（XML外部实体攻击）。触发该漏洞需CTRL+K（重复选项卡）等用户操作，也可通过嵌入<script>window.print();</script>脚本自动触发，成功利用此漏洞的攻击者可窃取Windows文件或本地信息。

二、影响范围

win7、win10、server2012 R2 平台上的InternetExplorer Browser v11。

三、处置建议

（一）微软官方尚未发布修复方案及相关补丁，请广大用户随时关注厂商主页及时更新。

（二）建议广大用户（特别是企业用户）不要轻易点击来历不明的链接及MHT文件；在漏洞未修复之前尽量避免使用IE浏览器。

附件：漏洞验证参考链接:

http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.txt