俗话说:树大招风,系统大了招黑客,IE大了漏洞多。微软系统面世以来一直招到病毒与反病毒、漏洞与补漏洞的战争,昨天是平安夜,今天是圣诞节,像很多的宅男宅女一样,陪伴笔者度过这个洋节日的是微博。昨天,笔者在绿盟官方微博上看到一则关于“Microsoft IE畸形CSS规则导入远程代码执行漏洞”,CVE ID:CVE-2010-3971,这个漏洞受影响的软件和系统有微软Internet Explorer 6、Internet Explorer 7、Internet Explorer 8及所有IE内核浏览器。按照市场的覆盖率来算,国内IE以及IE内核浏览器整体覆盖率高达93%以上,九成以上的中国网民电脑将受到该漏洞的威胁。
笔者第一时间和绿盟安全专家了解到,IE在处理网页CSS文件的引用时存在漏洞,远程攻击者可以利用此漏洞通过诱使用户访问恶意网页在用户系统上执行任意指令,从而完全控制受影响的系统。绿盟安全小组已经证实该Microsoft IE畸形CSS规则导入远程代码执行漏洞可被用于执行挂马攻击,其影响面和威胁程度都很高,需要引起用户重视。此漏洞是一个0day漏洞,相关的技术细节已经公开,微软已经得知了此漏洞的存在并开始研究处理,但还未提供针对此漏洞安全补丁,强烈建议参照临时解决方案进行处理以免受此漏洞的影响。
IE处理CSS(层叠样式表)文件中畸形的引用CSS文件自身的命令时存在内存破坏漏洞,漏洞的触发导致内存块释放后重使用的情况,通过精心构造内存中的数据结合Heap Spray等技术有可能利用此漏洞执行任意指令。
此漏洞最初作为一个拒绝服务类的问题被公布出来,但是经过研究证实可以用来执行任意指令,目前已经有了可以稳定利用的攻击工具,很有可能被用来大规模进行挂马攻击。
绿盟科技的IPS产品已经加入了针对利用此漏洞进行攻击的检测和阻断,建议客户立即升级规则阻断可能的攻击。
针对上面的安全漏洞绿盟安全小组还提出一下解决方法,希望用户能尽快解决:
一、在安装漏洞相应的补丁之前,Windows用户可以采用以下的临时解决方案来免受漏洞的影响:
二、暂时使用其他非IE内核的浏览器,比如Chrome、Firefox、Opera 。
三、使用微软提供的增强缓解体验工具包(EMET)。虽然不能阻止漏洞的触发,但是可以很大程度上阻止漏洞的利用。
四、增强缓解体验工具包(EMET)是一个实用工具,用于防止软件中的漏洞被成功利用。
五、用户还可以 从如微软官网上下网址下载增强缓解体验工具包:
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409
安装以后运行,在界面中点击“Configure Apps”,在对话框中点击“Add”,浏览到IE所在的安装目录(通常是c:program filesInternet Explorer)选择iexplore.exe,点击“打开”,IE就被加入到受保护项目列表中,点击“OK”,如果有IE正在运行的话需要重启一下应用。
回顾今年的黑客行径,黑客更加娱乐化与戏剧化,不放过每一个节日的黑客,在平安夜与圣诞节也没有让广大用户安静。只有提供7X24小时监测与服务的安全公司第一时间应对这样的安全漏洞,绿盟安全小组以及绿盟官方微博将这一漏洞与补救方法发布,为广大IE用户提供了更可靠的安全保障。