|
||||
2011新年元旦剛過,去年聖誕節前曝出的IE CSS『聖誕』漏洞就遭到了黑客的攻擊。據360、瑞星、卡巴斯基、賽門鐵克等多家國內外安全廠商公告:該漏洞可被黑客利用掛馬,影響主流版本的IE瀏覽器,其中包括安全性較高的IE8。據悉,國內互聯網上已經出現上百個利用該漏洞掛馬的惡意網頁,其中多數為在線小游戲網站,為此360安全衛士緊急發布了臨時補丁。
據悉,IE CSS『聖誕』漏洞有兩大特點。第一,該漏洞的攻擊代碼運用了一種新型的攻擊方式(.net庫中沒有經過ASLR隨機地址的一個庫文件),能夠繞過大多數安全軟件的網頁防護功能;第二,該漏洞可以使IE8瀏覽器被掛馬網頁直接攻擊。而在此前,掛馬網頁威脅的通常只是IE6和IE7瀏覽器的用戶。
一些黑客論壇上,IE『聖誕』漏洞被普遍視為『新年紅包』,相應的『網頁木馬生成器』也被明碼標價售賣。根據360安全中心監測的信息,在過去兩周時間內,針對該漏洞掛馬的惡意網頁數量與日俱增。尤其是在元旦期間,黑客開始在一些人氣較高的游戲網站、小說網站、音樂網站上掛馬,漏洞危害正在急劇放大。
對此,360安全專家石曉虹博士認為:『隨著「網頁木馬生成器」被黑客用於批量掛馬,IE「聖誕」漏洞攻擊將進一步擴散,嚴重程度可能超過導致谷歌被黑客入侵的IE「極光」漏洞。360安全衛士因此緊急發布了臨時補丁,在微軟官方修復漏洞前可以免疫目前黑客利用這個漏洞進行的攻擊。』
圖:360網盾攔截IE『聖誕』漏洞掛馬攻擊
根據360安全中心介紹,360臨時補丁無需用戶手工下載,即可通過自動昇級的方式更新該補丁,從而獲得對IE『聖誕』漏洞攻擊的免疫能力,並完全和微軟官方補丁兼容。此前,360曾多次針對微軟和第三方軟件的高危漏洞提供臨時補丁,包括IE XML漏洞、Mpeg-2視頻漏洞、綠壩遠程代碼執行漏洞等。
石曉虹博士表示:『安全漏洞相當於一間屋子破了洞,可以被小偷鑽進來。在徹底修好屋子前,最好的安全措施是盯緊這個洞,不讓任何壞人出入,360安全衛士的臨時補丁就能起到這個作用。』截至發稿前,微軟尚未透露何時提供官方補丁修復IE『聖誕』漏洞。