IE 浏览器惊现“零日漏洞”
据 TNW 报道,互联网安全公司 FireEye 今日在其博客中表示在微软 IE 浏览器中发现了一个新的“零时漏洞”(0Day),此漏洞正是 12 月 21 日美国外交关系委员会(CFR)网站遭受黑客攻击事件的元凶。
微软曾在 12 月 29 日发布的安全公告中承认受到攻击的事实。目前受影响只有 IE6、7 和 8,在 IE9 和 10 上不存在这个安全漏洞。因为微软并未发布适用于Windows XP 的 IE 9/10 浏览器,因此该操作系统的用户依然暴露在危险之下。
所谓“零日漏洞”(0Day)通常是指没有补丁的漏洞利用程序,提供该利用程序的人通常是该漏洞的首发者或是第一个公开该漏洞利用细节的人。
根据 FireEye 的介绍,此漏洞中的恶意 JavaScript 代码只有在英语、简体中文、繁体中文、日文、韩文或俄文版 IE 浏览器中才有破坏力。黑客主要利用这个恶意代码加载名为 today.swf 的 Adobe Flash 文件,对 IE 浏览器实施“Heap Spray”攻击,并自动下载一个名为“xsainfo.jpg”的文件。
以下为详细的技术信息:
IE 浏览器中存在一个包含了一个被称为“释放后使用”(use-after-free)的漏洞,IE 在针对该漏洞编写 JavaScript 指令之后可能会自动创建一个包含 CDwnBindInfo 对象的 CDoc 对象。此对象不用移除指针就可被释放,导致 IE 呼叫一个无效的内存地址。若和 heap spray 或其他黑客技术同时使用,黑客就可以在这个地址中放置任意代码。这个漏洞目前已经被广泛利用,使用Adobe Flash来实现heap spray攻击和使用Java来提供ROP(Return Oriented Programming)控件。
微软周六在其官方微博上表示正在着手开发漏洞补丁,但没有公布时间表。FireEye 则建议用户可以使用微软增强减灾体验工具(EMET),同时禁用浏览器的 Flash ActiveX 和 Java 控件。若想根除此漏洞,FireEye 建议用户尽早将 IE 浏览器升级到 IE9 或 10,或是干脆另选用一款浏览器。