北京時間12月31日消息,據國外媒體報道,安全廠商FireEye在微軟IE瀏覽器中發現了一個新的零時安全漏洞,並且該漏洞可能會被網路犯罪分子廣泛利用。據悉,受到該漏洞影響只有IE6、7和8,IE9和10不存在這個安全漏洞。
Dustin Childs of Microsoft Trustworthy Computing對媒體表示:“微軟髮布了2794220號安全公告,告知用戶IE6、7和8中存在一個安全漏洞。雖然我們正在積極開發一款簡單易用的一鍵式補丁來解決這個問題,我們強烈建議用戶採取公告中所述的緩解措施和應急方案。”
FireEye在12月21日發現,Council on Foreign Relations(CFR)網站已經被攻破並且被植入了惡意內容。CFR發言人大衛米克黑爾(David Mikhail)週四對The Washington Free Beacon稱:“CFR網站安全團隊已經知道了這個問題,目前正在進行調查。我們還將努力降低未來發生同類事件的可能性。”
據悉,惡意JavaScript只有在英語、簡體中文、繁體中文、日文、韓文或俄文版IE瀏覽器中才能利用惡意代碼。一旦初步檢測通過,JavaScript就會載入一個名為“today.swf”的Flash文件。這個文件最終會觸發heap spray攻擊並下載一個名為“xsainfo.jpg”的文件。
CERT知識庫(VU#154201)中提供了該漏洞的更多詳細資訊。
關於該漏洞的技術資訊如下:
微軟IE包含了一個位於mshtml CDwnBindInfo之中的“釋放後使用”(use-after-free)漏洞。專門針對該漏洞編寫的JavaScript可能會令IE創建一個包含CDwnBindInfo對象的CDoc對象。這個對象也許不用移除指針就可被釋放,結果就會導致IE嘗試呼叫一個無效的記憶體地址。配合使用heap spray或其他技術,攻擊者就可以在這個地址中放置任意代碼。這個漏洞目前已經被廣泛利用,使用AdobeFlash來實現heap spray攻擊和使用Java來提供ROP(Return Oriented Programming)控件。
由於現在還沒有可用的補丁,FireEye在報告中提供了一些應急措施:使用微軟Enhanced Mitigation Experience Toolkit(EMET)、禁用IE中的Flash ActiveX控制、禁用IE中的Java。FireEye建議用戶不要使用IE8或更早版本的IE瀏覽器,升級到IE9或10,或是使用一款不同的瀏覽器比如谷歌Chrome。
