IE再現(xiàn)高危0day漏洞 用戶“被病毒”風(fēng)險增強

文/鄭先偉

IE再現(xiàn)高危0day漏洞 用戶“被病毒”風(fēng)險增強

文/鄭先偉

近期教育絡(luò)網(wǎng)絡(luò)運行正常，無重大安全事件發(fā)生。 但微軟IE瀏覽器連續(xù)爆出高危的0day漏洞并迅速被利用來進行網(wǎng)頁掛馬攻擊，導(dǎo)致用戶在正常網(wǎng)頁瀏覽過程中感染病毒的風(fēng)險大大增強。由于這些0day漏洞的補丁程序往往延后于攻擊程序發(fā)布，所以多數(shù)時候用戶只能依靠一些臨時的解決辦法和殺毒軟件的保護來防范攻擊。這種時候諸如“不隨便訪問不受信任網(wǎng)站”之類的良好的網(wǎng)絡(luò)使用習(xí)慣往往能給您帶來更多的安全保障。

2010年1月-2010年3月CERNET安全投訴事件統(tǒng)計

IE再次暴露0day漏洞

一月份暴露出來的IE瀏覽器0day漏洞（MS10-002、媒體稱為極光漏洞）的攻擊程序仍然在網(wǎng)絡(luò)上大肆流行，雖然微軟已經(jīng)推出了相應(yīng)的補丁程序，但是依然有很多人因沒能及時安裝補丁而中招。三月初微軟的I E再次暴露出一個0day漏洞（目前尚無補丁程序可安裝），利用該漏洞的攻擊程序已經(jīng)開始在網(wǎng)絡(luò)上泛濫。通過反病毒廠商的監(jiān)測發(fā)現(xiàn)目前這類攻擊程序多數(shù)通過掛馬網(wǎng)頁傳播，用戶使用包含漏洞的IE瀏覽器訪問相應(yīng)的網(wǎng)頁就會遭到攻擊，一旦攻擊成功，攻擊者會在用戶系統(tǒng)上安裝虛假的反病毒軟件替代真實反病毒軟件，以此來躲避查殺，同時攻擊程序會在用戶系統(tǒng)上預(yù)留后門以便遠(yuǎn)程進行控制。

破解近期新增嚴(yán)重漏洞

三月初微軟的IE瀏覽器再次暴露出一個0day漏洞，由于補丁程序的開發(fā)測試需要周期，所以在微軟三月份的例行安全公告中并未包含該漏洞的補丁程序，預(yù)計微軟將在四月份的安全公告中發(fā)布該漏洞的補丁程序，除了微軟的IE瀏覽器外，Mozilla公司的Firefox瀏覽器同樣存在可用的高危漏洞，不過該公司已在近期發(fā)布的最新版Firefox中修補了這些漏洞。

IE瀏覽器iepeers.dll組件無效指針漏洞（0day）

影響系統(tǒng)：

IE 6.0

IE 7.0

漏洞信息：

IE瀏覽器用來支持WEB文件夾以及打印功能的Iepeers.dll組件存在一個無效指針漏洞。如果用戶訪問特定的格式的網(wǎng)頁文件或是office文檔時可能觸發(fā)此漏洞，成功的攻擊可能會使攻擊者以當(dāng)前用戶的權(quán)限執(zhí)行任意命令。

攻擊者可以在網(wǎng)頁中利用javascript腳本調(diào)用特定的網(wǎng)頁標(biāo)簽來利用該漏洞。

漏洞危害：

目前該漏洞正在網(wǎng)絡(luò)上大面積被利用來進行網(wǎng)頁掛馬攻擊，并且漏洞攻擊成功率非常高。用戶一旦使用未安裝補丁的IE訪問這些掛馬網(wǎng)頁，就會感染木馬病毒。

解決辦法：

目前廠商已經(jīng)針對該漏洞發(fā)布了相應(yīng)的通告，但是還未針發(fā)布補丁程序，補丁程序預(yù)計隨四月份的安全公告發(fā)布，建議您隨時關(guān)注廠商的動態(tài)：

http://www.microsoft.com/technet/security/advisory/981374.mspx?pf=true

在沒有補丁程序之前，我們建議您暫時使用其他非IE核心的瀏覽器（如Firefox等）訪問網(wǎng)絡(luò)或者使用高版本的IE瀏覽器（如IE8）訪問網(wǎng)絡(luò)。當(dāng)然您也可以使用以下方法來減緩漏洞帶來的風(fēng)險：

修改系統(tǒng)對iepeers.dll文件的訪問權(quán)限。

對32位系統(tǒng)，執(zhí)行如下命令：

Echo y| cacls %WINDIR%SYSTEM32iepeers.DLL /E /P everyone:N

對64位系統(tǒng)，執(zhí)行如下命令：

Echo y| cacls %WINDIR%SYSWOW64iepeers.DLL /E /P everyone:N Firefox多個遠(yuǎn)程代碼執(zhí)行漏洞

影響系統(tǒng)：

Firefox 3.6

漏洞信息：

Firefox最新發(fā)布的版本（3.6.2）修補了之前版本中的多個漏洞，具體信息如下：

1.Firefox中負(fù)責(zé)處理圖形緩存和動畫的libpr0n庫處理通過multipart/xmixed-replace mime從服務(wù)器所接收的動畫的方式存在遠(yuǎn)程代碼執(zhí)行漏洞。在bitsper-pixel發(fā)生了更改的情況下，應(yīng)用會試圖調(diào)用已經(jīng)釋放的指針，這可能導(dǎo)致溢出攻擊。

2.Firefox中所使用的Web開放字體格式（WOFF）解碼器在解析字體文件中所指定的表格大小時存在整數(shù)溢出漏洞。如果用戶所訪問網(wǎng)頁中所嵌入的WOFF字體包含有超長的origLen字段的話，就可以觸發(fā)這個溢出，導(dǎo)致執(zhí)行任意代碼。

漏洞危害：

由于最近兩個月I E瀏覽器頻繁爆出0day漏洞，并被大規(guī)模利用。所以部分用戶開始轉(zhuǎn)而使用其他瀏覽器，如Firefox瀏覽器，但是這類第三方的瀏覽器軟件同樣可能存在安全風(fēng)險，需要及時升級或安裝補丁程序。目前針對Firefox瀏覽器漏洞的攻擊還不多見，但是隨著用戶數(shù)量的增多，攻擊也可能增多。

解決辦法：

廠商已經(jīng)在最新的版本中修復(fù)了這些安全漏洞，建議您及時下載最新的版本安裝。當(dāng)然您也可以使用Firefox瀏覽器自帶的自動升級功能來升級。

（作者單位為CERNET國家網(wǎng)絡(luò)中心應(yīng)急響應(yīng)組）

安全提示

為防范近期網(wǎng)頁掛馬攻擊，建議用戶執(zhí)行以下操作：

1.升級IE瀏覽器到高版本或者使用非IE核心的瀏覽器訪問網(wǎng)絡(luò)；

2.Firefox等第三方瀏覽器也需要升級到最新版本；

3.安裝正版的殺毒軟件并及時更新病毒庫；

4.盡可能地訪問一些可信度較高的網(wǎng)站（門戶網(wǎng)站等）。