安全资讯:微软针对零日漏洞发布解决方案

微软已经发布了解决方案,以帮助减轻IE中的零日漏洞,可以发现黑客通过远程控制的被感染的计算机。

这个漏洞最初是法国安全公司VUPEN于12月9日发现,可被攻击者用于攻击。据微软称,它的存在是由于Internet Explorer中一个级联样式表(CSS)的功能创建未初始化的内存引起的。微软表示,在某些情况下,攻击者利用一个恶意网页使用该内存执行远程代码并控制受害者的机器。

IE 6、7和8被证实会受到影响,目前尚不清楚IE 9是否也会受到同样的影响。

微软在12月22日晚些时候发布了一个紧急安全公告,这个公告是关于IE零日漏洞的调查报告。报告建议用户使用安全功能,比如在Windows Vista和Windows 7中使用保护模式( Protected Mode),在Windows Server 2003和2008中使用增强安全配置(Enhanced Security Configuration)。

随后微软提供了更多详细的建议和帮助,Metasploit Project为该漏洞推出了一个概念验证,可以使用已知的技术避免地址空间布局随机化(Address Space Layout Randomization,ASLR)并绕开数据执行保护(Data Execution Prevention,DEP),这两者都是为了限制有害代码所造成的损害。

微软正在敦促其用户使用针对攻击的解决方法——增强型减灾经验工具包(Enhanced Mitigation Experience Toolkit),这主要是因为当攻击试图访问它需要的内存区时,增强型减灾经验工具包可以强迫执行ASLR并引发访问冲突警报。

微软表示,工程师们正在努力修补漏洞,当可行的时候会发布补丁。不过只要用户采取以上的建议,他们的网络就会保持良好的状态。据亚洲Sophos PLC的技术主管Paul Ducklin在博客中写道,Ducklin认为IE漏洞可能是由于不正常的事件顺序引起的。

“当IE执行一个级联样式表(Cascading Style Sheet ,CSS)文件时,该漏洞利用一个内存使用的错误。如果样式表输入它本身(因为CSS文件已经加载,所以样式表通常不是很有用),那么,IE将使内存变得混乱。”Ducklin说道。

他指责微软在处理动态链接库(DLL)文件方面的缺陷。

“糟糕的是,微软允许每个DLL决定是否支持ASLR,而IE是被当作一个大量DLL的整体——有些DLL是在运行时加载,根据需要,保留IE下载的内容。因此通过发送一些无关的文件给IE。你可以在已知的DLL中加载这些文件。如果那些DLL都不支持ASLR,那么这些文件就会在内存中的已知位置加载。”