IE漏洞扯上Windows Media Player

    一位著名的网络安全专家周二表示，只要利用Windows Media Player一个已知的安全漏洞，就可以让IE6.0新增的隐私强化功能全部泡汤。

    微软一直在突显IE6.0的隐私性大幅提升，包括支持最近才通过的P3P标准(Platform for Privacy Preferences)。P3P可让用户掌控更多常被网站用来跟踪网友行踪的cookies。

    不过，本周计算机隐私与安全顾问Richard Smith警告说，有心人只需利用Windwos Media Player所生成的一组特定ID，便可绕过微软在IE浏览器中设置的重重安全关卡。因此，不肖网站可借此设立所谓的“supercookie”(威力cookie)，跟踪IE与网景浏览器客户在网络上的一举一动，不管用户设置了多高级的隐私权限都无用。

    “只需在网页上写一段JavaScript程序，网站就可直接抓取每个网友计算机中的Windows Media Player识别号码(ID)。”Smith表示。“网站便可利用这一识别码跟踪网友在网络上的行踪。”

     虽然微软已经提供了修复程序，但Smith表示这一解决方案还不够周全。“许多人从没打开过Windows Media Player，但还是会深受其害。”

    Smith在去年3月便已发现这一问题并通知了微软，微软则在5月发出修正程序，让网友更改Windows Media Player的默认值。使用Media Player 6.4与7.1版本的客户可直接关闭“Allow Internet Sites to uniquely identify your player”选项(允许网站跟踪您的播放器)。另外，客户也可选择卸载Windows Media Player或关闭JavaScript。

    “通常这类隐私问题并不在我们安全论坛的讨论范围内，但以此例而言，网友其实只需下载更新程序并更动设置值便可解决此一问题了。”一位微软代表在email中如此表示。

    不过Smith表示，许多人并不了解他们还需更动Windows Media Player的设置值，才能实质性地解决IE浏览器的这个大漏洞。