|
||||
12月23日,360安全中心發布橙色安全警報稱,IE瀏覽器出現一個最新的高危『聖誕』0day漏洞,可以導致木馬遠程入侵網民的電腦,影響IE6、IE7、IE8及所有IE內核瀏覽器。據悉,國內『IE系』瀏覽器整體覆蓋率高達93%以上,九成以上的中國網民電腦將受到該漏洞的威脅。截至發稿前,360安全中心已經緊急啟動漏洞預警機制,目前360安全衛士『網盾』模塊能夠成功防御網上公開的漏洞攻擊代碼。
360安全專家石曉虹博士介紹說,IE『聖誕』漏洞是一個典型的遠程代碼執行漏洞,它是通過特定方式重復導入CSS樣式表而觸發漏洞。也就是說,當網友使用IE瀏覽器打開一個利用該漏洞掛馬的網頁時,電腦就會自動下載運行黑客設定的木馬,使自己的重要帳號和個人隱私被木馬竊取。
經分析,由於IE『聖誕』0day漏洞影響面廣、對最新流行的『Win7+IE8』組合也極具殺傷力,未來很可能會成為掛馬網頁的主要攻擊目標。360安全中心監測數據表明:目前國內共計有120餘萬個掛馬網頁,其中包括大批熱門的小說網站和游戲網站,此外還有眾多教育類和機構類網站也被黑客入侵掛馬,360安全衛士『網盾』模塊每天攔截的掛馬網頁攻擊數量超過800萬次。
『如果黑客利用IE0day漏洞來傳播近期泛濫的「網購」木馬,其危害將特別嚴重。』根據石曉虹介紹,國內主要的網上銀行和網上支付平臺只支持IE內核的瀏覽器,而聖誕節到元旦期間網上購物活動非常活躍,如果黑客借機傳播『購物』木馬,通過漏洞將木馬潛伏在受害網友的電腦中,監視並篡改網上支付鏈接,就會使受害網友把購物或轉賬的錢直接打進黑客的賬戶裡。
據悉,目前微軟官方網站已對此漏洞發布了安全公告(CVE-2010-3971),建議用戶安裝並及時更新安全軟件,但並沒有透露何時將發布補丁。為此,360安全中心提示用戶,近期上網時不要隨便打開陌生人發來的鏈接和電子郵件,應注意定期掃描查殺木馬,可以降低網上支付交易的風險。
附:360安全中心關於IE『聖誕』0day漏洞的技術分析
該漏洞是通過import方式重復導入CSS樣式表導致的一個指針引用錯誤,通過unicode字符串的CSS樣式表控制地址。
網上公開的漏洞攻擊代碼運用了一種最新的攻擊方式,漏洞利用了.net庫中沒有經過ASLR隨機地址的一個庫文件,這個漏洞庫是.net庫的".NET IE mime filter DLL"。
漏洞觸發後進入這個庫的地址空間范圍,通過ROP shellcode(Return Oriented Exploitation)的方式繞過了IE8 DEP。同時,一些安全軟件的部分網頁防護功能也會因此失效。
不過,該漏洞攻擊存在一個前提條件,就是需要惡意網頁的訪問者電腦中安裝『.NET庫』。目前『Win7+IE8』默認安裝了『.NET庫』,可以被黑客利用漏洞直接攻擊『Win7+IE8』組合,再配合一個本地提權漏洞就可以繞過其『低權限保護模式』;Windows XP則沒有默認安裝『.NET庫』,因此黑客進行大規模掛馬攻擊還需要開發兼容的攻擊代碼。
360安全衛士『網盾』模塊能夠成功防御網上公開的漏洞攻擊代碼。目前360安全中心正在進一步評估漏洞威脅,預期將通過產品更新來徹底為用戶免疫漏洞攻擊。