Solidot

Windows系统上一个少有人知道的功能可能成为影响网络冲浪的大问题。过去几个月，自从安全研究员Thor Larholm展示了如何通过向Firefox发送畸形数据（malformed data）来欺骗浏览器之后，URI (Uniform Resource Identifier)bug正变成一个热门话题。这个bug允许攻击者在受害者电脑上运行未被授权的软件。现在安全专家Billy Rios 和Nathan McFeters说他们发现了更多的方法，攻击者可能会滥用URI协议处理技术去窃取受害者电脑上的数据。
使用已定制好的URI协议名，软件开发者的本意是让用户操作更轻松。Windows注册表跟踪这些名字并将其与程序联系起来，这可让你直接通过浏览器运行程序。例如AOL的IM客户端名是"aim." ，点击超链接“aim:goim”或在浏览器地址栏输入“aim:goim”，你就可直接打开AIM的聊天窗口。
但是如果这项技术被滥用，“通过URI偷取用户电脑内容并按攻击者选择上传到一个远程服务器上是完全有可能的，所有这一切都是通过软件提供的功能实现的。“ Ernst & Young Global Ltd高级安全顾问McFetters说道。