7月13日，我国最大的反病毒技术与服务商江民科技的反病毒中心监测到，IE最新HijackClick漏洞与其他漏洞组合可执行任意代码。据江民反病毒专家介绍，IE的HijackClick漏洞可以用来编写这样的恶意页面：当用户点击了页面上的某个链接后，会产生一个对该链接进行拖拽的事件。通过在onmousedown()事件响应函数中进行窗口移位操作会产生这样的效果。微软已经发布过补丁，禁止在onmousedown()中使用window.moveBy/To、window.resizeBy/To等窗口移位函数。但7月11日，又一个新的可以实现HijackClick漏洞的函数被发现。利用

UC立体声聊天 无限下载MP3作K王 海纳百川 候车亭媒体 财富之旅诚邀商户加盟

最新HijackClick漏洞的实例代码同时被公布，在该实例中，用户点击了一个链接后，网页脚本程序成功的模拟拖拽事件，把用户点击的链接网页复制到了收藏夹中。

　　事隔仅1天，在7月12日，一个基于最新HijackClick漏洞的恶意网页代码被公布，该代码巧妙的利用拖拽事件把一个含有Shell.Application漏洞的远程目标网页复制到了收藏夹中，然后启动这个目标网页。由于收藏夹是本地文件夹，从收藏夹启动的网页只受本地安全区的安全限制，而Shell.Application漏洞恰恰可以在本地安全区中运行用户磁盘上任意程序而不会触发IE的安全警告。因此，黑客组合使用这两个漏洞，就可以使用户在不知情中下载恶意脚本，进而在用户本地系统执行任意代码。目前，即使是打全微软补丁的用户，包括WindowsXP SP2用户，面对这样的恶意网页，也没有免疫能力。而恶意网页完全有可能在用户系统中进行添加删除文件、格式化磁盘、添加新用户、添加共享文件夹、下载安装病毒或间谍软件等多种操作。

　　对于最新的HijackClick漏洞和Shell.Application漏洞，微软目前没有补丁程序。江民公司强烈建议广大用户立即下载执行禁用Shell.Application对象的注册表文件www.jiangmin.com/download/KVFixShellApplication.reg，并同时开启KV的实时监控，这样可以免受绝大多数恶意脚本的攻击。