北京時(shí)間12月31日消息,據(jù)國(guó)外媒體報(bào)道,安全廠商FireEye在微軟IE瀏覽器中發(fā)現(xiàn)了一個(gè)新的零時(shí)安全漏洞,并且該漏洞可能會(huì)被網(wǎng)絡(luò)犯罪分子廣泛利用。據(jù)悉,受到該漏洞影響只有IE6、7和8,IE9和10不存在這個(gè)安全漏洞。
Dustin Childs of Microsoft Trustworthy Computing對(duì)媒體表示:“微軟發(fā)布了2794220號(hào)安全公告,告知用戶IE6、7和8中存在一個(gè)安全漏洞。雖然我們正在積極開(kāi)發(fā)一款簡(jiǎn)單易用的一鍵式補(bǔ)丁來(lái)解決這個(gè)問(wèn)題,我們強(qiáng)烈建議用戶采取公告中所述的緩解措施和應(yīng)急方案。”
FireEye在12月21日發(fā)現(xiàn),Council on Foreign Relations(CFR)網(wǎng)站已經(jīng)被攻破并且被植入了惡意內(nèi)容。CFR發(fā)言人大衛(wèi)米克黑爾(David Mikhail)周四對(duì)The Washington Free Beacon稱:“CFR網(wǎng)站安全團(tuán)隊(duì)已經(jīng)知道了這個(gè)問(wèn)題,目前正在進(jìn)行調(diào)查。我們還將努力降低未來(lái)發(fā)生同類事件的可能性。”
據(jù)悉,惡意JavaScript只有在英語(yǔ)、簡(jiǎn)體中文、繁體中文、日文、韓文或俄文版IE瀏覽器中才能利用惡意代碼。一旦初步檢測(cè)通過(guò),JavaScript就會(huì)加載一個(gè)名為“today.swf”的Flash文件。這個(gè)文件最終會(huì)觸發(fā)heap spray攻擊并下載一個(gè)名為“xsainfo.jpg”的文件。
CERT知識(shí)庫(kù)(VU#154201)中提供了該漏洞的更多詳細(xì)信息。
關(guān)于該漏洞的技術(shù)信息如下:
微軟IE包含了一個(gè)位于mshtml CDwnBindInfo之中的“釋放后使用”(use-after-free)漏洞。專門針對(duì)該漏洞編寫的JavaScript可能會(huì)令I(lǐng)E創(chuàng)建一個(gè)包含CDwnBindInfo對(duì)象的CDoc對(duì)象。這個(gè)對(duì)象也許不用移除指針就可被釋放,結(jié)果就會(huì)導(dǎo)致IE嘗試呼叫一個(gè)無(wú)效的內(nèi)存地址。配合使用heap spray或其他技術(shù),攻擊者就可以在這個(gè)地址中放置任意代碼。這個(gè)漏洞目前已經(jīng)被廣泛利用,使用AdobeFlash來(lái)實(shí)現(xiàn)heap spray攻擊和使用Java來(lái)提供ROP(Return Oriented Programming)控件。
由于現(xiàn)在還沒(méi)有可用的補(bǔ)丁,F(xiàn)ireEye在報(bào)告中提供了一些應(yīng)急措施:使用微軟Enhanced Mitigation Experience Toolkit(EMET)、禁用IE中的Flash ActiveX控制、禁用IE中的Java。FireEye建議用戶不要使用IE8或更早版本的IE瀏覽器,升級(jí)到IE9或10,或是使用一款不同的瀏覽器比如谷歌Chrome。
