在MSN Messenger、Microsoft Word与Mozilla（Windows版）等软件中相继发现了与“shell:”功能有关的安全漏洞。打开Web网页或点击链接后，个人电脑中的程 序可能会被任意运行。Mozilla已经公开了修正补丁与修正版本（日文），MSN Messenger与Word的对策就是不点击不可靠的链接。

　　“shell:”是Windows支持的URL处理器（handler），而URL处理器可以通过Web网页等启动应用功能。比如，系统中安装了Outlook 2002后，Outlook 2002便登记为URL处理器“outlook://”。如果使用这一URL处理器，可以通过点击链接来启动Outlook 2002。此次出现问题的“shell:”是调用shell（Explorer）的URL处理器，可以打开个人电脑中的文件或特殊文件夹（如在Internet Explorer中输入“shell:AppData”后，可以打开ApplicationData文件夹）。

　　通过“shell:”只能调用个人电脑中的文件。另外在调用文件时，无法提交参数。因此，即使应用Web网页与HTML文件的“shell:”命令提交给Windows，危险也并不大。但是，存在通过其他手段启动恶意程序。另外，也可以作为寻找个人电脑中程序存在的其他安全脆弱性的手段。

　　安全公司Secunia表示，“由于‘shell:’功能本来就不安全，因此只允许可靠的资源访问”（英文）。此次在MSN Messenger、Microsoft Word与Mozilla（Windows版）等中发现的，就是不限制“shell:”向Windows提交的漏洞。

　　对于Windows版的Mozilla、Mozilla Firefox与Mozilla Thunderbird，7月7日公开了修正补丁与修正版的Mozilla 1.7.1／Firefox 0.9.2／Thunderbird 0.7.2（日文）。US-CERT还公开了将shell:设为无效的预防方法（英文）。

　　对于MSN Messenger 6.x与Microsoft Word 2002，Secunia对7月11日投往安全相关邮件列表的内容进行验证后，7月12日予以公开（英文）。目前尚未公开补丁等。Seunia提出的对策是：“在MSN Messenger中不点击链接”、“在Word中不点击来源不可靠的链接”。

　　此次有关“shell:”的安全漏洞，并不只限于MSN Messenger、Microsoft Word与Mozilla等。US-CERT指出，“所有将‘shell:’的URL提交给Windows的程序（如Internet Explorer与Outlook）都存在同样的漏洞”。