文/鄭先偉

IE再現(xiàn)高危0day漏洞 用戶“被病毒”風(fēng)險(xiǎn)增強(qiáng)

文/鄭先偉

近期教育絡(luò)網(wǎng)絡(luò)運(yùn)行正常，無(wú)重大安全事件發(fā)生。 但微軟IE瀏覽器連續(xù)爆出高危的0day漏洞并迅速被利用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬攻擊，導(dǎo)致用戶在正常網(wǎng)頁(yè)瀏覽過(guò)程中感染病毒的風(fēng)險(xiǎn)大大增強(qiáng)。由于這些0day漏洞的補(bǔ)丁程序往往延后于攻擊程序發(fā)布，所以多數(shù)時(shí)候用戶只能依靠一些臨時(shí)的解決辦法和殺毒軟件的保護(hù)來(lái)防范攻擊。這種時(shí)候諸如“不隨便訪問(wèn)不受信任網(wǎng)站”之類(lèi)的良好的網(wǎng)絡(luò)使用習(xí)慣往往能給您帶來(lái)更多的安全保障。

2010年1月-2010年3月CERNET安全投訴事件統(tǒng)計(jì)

IE再次暴露0day漏洞

一月份暴露出來(lái)的IE瀏覽器0day漏洞（MS10-002、媒體稱(chēng)為極光漏洞）的攻擊程序仍然在網(wǎng)絡(luò)上大肆流行，雖然微軟已經(jīng)推出了相應(yīng)的補(bǔ)丁程序，但是依然有很多人因沒(méi)能及時(shí)安裝補(bǔ)丁而中招。三月初微軟的I E再次暴露出一個(gè)0day漏洞（目前尚無(wú)補(bǔ)丁程序可安裝），利用該漏洞的攻擊程序已經(jīng)開(kāi)始在網(wǎng)絡(luò)上泛濫。通過(guò)反病毒廠商的監(jiān)測(cè)發(fā)現(xiàn)目前這類(lèi)攻擊程序多數(shù)通過(guò)掛馬網(wǎng)頁(yè)傳播，用戶使用包含漏洞的IE瀏覽器訪問(wèn)相應(yīng)的網(wǎng)頁(yè)就會(huì)遭到攻擊，一旦攻擊成功，攻擊者會(huì)在用戶系統(tǒng)上安裝虛假的反病毒軟件替代真實(shí)反病毒軟件，以此來(lái)躲避查殺，同時(shí)攻擊程序會(huì)在用戶系統(tǒng)上預(yù)留后門(mén)以便遠(yuǎn)程進(jìn)行控制。

破解近期新增嚴(yán)重漏洞

三月初微軟的IE瀏覽器再次暴露出一個(gè)0day漏洞，由于補(bǔ)丁程序的開(kāi)發(fā)測(cè)試需要周期，所以在微軟三月份的例行安全公告中并未包含該漏洞的補(bǔ)丁程序，預(yù)計(jì)微軟將在四月份的安全公告中發(fā)布該漏洞的補(bǔ)丁程序，除了微軟的IE瀏覽器外，Mozilla公司的Firefox瀏覽器同樣存在可用的高危漏洞，不過(guò)該公司已在近期發(fā)布的最新版Firefox中修補(bǔ)了這些漏洞。

IE瀏覽器iepeers.dll組件無(wú)效指針漏洞（0day）

影響系統(tǒng)：

IE 6.0

IE 7.0

漏洞信息：

IE瀏覽器用來(lái)支持WEB文件夾以及打印功能的Iepeers.dll組件存在一個(gè)無(wú)效指針漏洞。如果用戶訪問(wèn)特定的格式的網(wǎng)頁(yè)文件或是office文檔時(shí)可能觸發(fā)此漏洞，成功的攻擊可能會(huì)使攻擊者以當(dāng)前用戶的權(quán)限執(zhí)行任意命令。

攻擊者可以在網(wǎng)頁(yè)中利用javascript腳本調(diào)用特定的網(wǎng)頁(yè)標(biāo)簽來(lái)利用該漏洞。

漏洞危害：

目前該漏洞正在網(wǎng)絡(luò)上大面積被利用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬攻擊，并且漏洞攻擊成功率非常高。用戶一旦使用未安裝補(bǔ)丁的IE訪問(wèn)這些掛馬網(wǎng)頁(yè)，就會(huì)感染木馬病毒。

解決辦法：

目前廠商已經(jīng)針對(duì)該漏洞發(fā)布了相應(yīng)的通告，但是還未針發(fā)布補(bǔ)丁程序，補(bǔ)丁程序預(yù)計(jì)隨四月份的安全公告發(fā)布，建議您隨時(shí)關(guān)注廠商的動(dòng)態(tài)：

http://www.microsoft.com/technet/security/advisory/981374.mspx?pf=true

在沒(méi)有補(bǔ)丁程序之前，我們建議您暫時(shí)使用其他非IE核心的瀏覽器（如Firefox等）訪問(wèn)網(wǎng)絡(luò)或者使用高版本的IE瀏覽器（如IE8）訪問(wèn)網(wǎng)絡(luò)。當(dāng)然您也可以使用以下方法來(lái)減緩漏洞帶來(lái)的風(fēng)險(xiǎn)：

修改系統(tǒng)對(duì)iepeers.dll文件的訪問(wèn)權(quán)限。

對(duì)32位系統(tǒng)，執(zhí)行如下命令：

Echo y| cacls %WINDIR%SYSTEM32iepeers.DLL /E /P everyone:N

對(duì)64位系統(tǒng)，執(zhí)行如下命令：

Echo y| cacls %WINDIR%SYSWOW64iepeers.DLL /E /P everyone:N Firefox多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

影響系統(tǒng)：

Firefox 3.6

漏洞信息：

Firefox最新發(fā)布的版本（3.6.2）修補(bǔ)了之前版本中的多個(gè)漏洞，具體信息如下：

1.Firefox中負(fù)責(zé)處理圖形緩存和動(dòng)畫(huà)的libpr0n庫(kù)處理通過(guò)multipart/xmixed-replace mime從服務(wù)器所接收的動(dòng)畫(huà)的方式存在遠(yuǎn)程代碼執(zhí)行漏洞。在bitsper-pixel發(fā)生了更改的情況下，應(yīng)用會(huì)試圖調(diào)用已經(jīng)釋放的指針，這可能導(dǎo)致溢出攻擊。

2.Firefox中所使用的Web開(kāi)放字體格式（WOFF）解碼器在解析字體文件中所指定的表格大小時(shí)存在整數(shù)溢出漏洞。如果用戶所訪問(wèn)網(wǎng)頁(yè)中所嵌入的WOFF字體包含有超長(zhǎng)的origLen字段的話，就可以觸發(fā)這個(gè)溢出，導(dǎo)致執(zhí)行任意代碼。

漏洞危害：

由于最近兩個(gè)月I E瀏覽器頻繁爆出0day漏洞，并被大規(guī)模利用。所以部分用戶開(kāi)始轉(zhuǎn)而使用其他瀏覽器，如Firefox瀏覽器，但是這類(lèi)第三方的瀏覽器軟件同樣可能存在安全風(fēng)險(xiǎn)，需要及時(shí)升級(jí)或安裝補(bǔ)丁程序。目前針對(duì)Firefox瀏覽器漏洞的攻擊還不多見(jiàn)，但是隨著用戶數(shù)量的增多，攻擊也可能增多。

解決辦法：

廠商已經(jīng)在最新的版本中修復(fù)了這些安全漏洞，建議您及時(shí)下載最新的版本安裝。當(dāng)然您也可以使用Firefox瀏覽器自帶的自動(dòng)升級(jí)功能來(lái)升級(jí)。

（作者單位為CERNET國(guó)家網(wǎng)絡(luò)中心應(yīng)急響應(yīng)組）

安全提示

為防范近期網(wǎng)頁(yè)掛馬攻擊，建議用戶執(zhí)行以下操作：

1.升級(jí)IE瀏覽器到高版本或者使用非IE核心的瀏覽器訪問(wèn)網(wǎng)絡(luò)；

2.Firefox等第三方瀏覽器也需要升級(jí)到最新版本；

3.安裝正版的殺毒軟件并及時(shí)更新病毒庫(kù)；

4.盡可能地訪問(wèn)一些可信度較高的網(wǎng)站（門(mén)戶網(wǎng)站等）。