IE 零日漏洞风险评估

《本文转译自Microsoft Security Research & Defense 博客文章“Assessing risk of IE 0day vulnerability”》

昨天，MSRC 发布了微软安全通报 979352 来提醒用户警惕针对 IE6 用户的有限的复杂攻击。今天，攻击样本已经公布。

在谈到细节之前，我们要澄清一个问题。我们目前看到的攻击，包括公开的漏洞利用方法，都仅仅影响使用 IE6 的用户。正如在安全通报中提到的那样，尽管新版本的 IE 会受该漏洞影响，但现有的缓解措施会使漏洞利用难度大大提高。我们想与大家分享关于漏洞和已知的漏洞利用情况的更多信息，以便帮助大家更好地评估所在组织的风险。

不同平台的风险

据我们所知，较新版本的 IE 和在其后发布的 Windows 被漏洞利用的风险大大减弱，因为其中有如下表所示的平台缓解性（注意：本表中不包括服务器平台，因为在服务器上浏览网路的情况较少发生）：

如你所见，目前有风险的客户端配置是运行 IE6 的 Windows XP。我们推荐 Windows XP 平台的 IE6 用户升级到新版本的 Internet Explorer，同时/或启用 DEP。其它平台用户的风险大大减弱。我们还推荐 Windows XP 用户升级到新版本的 Windows 系统。

关于漏洞的更多信息

这个漏洞是由攻击者触发的 Internet Explorer 内存破坏问题，攻击者需使用 JavaScript 来拷贝、发布、随后引用一个特制的文件对象模型（DOM：Document Object Model）元素。如果攻击者能够把攻击代码植入内存，对已释放内存的一个随机地址的引用会导致攻击代码执行。

阻止代码执行的多种方法

漏洞在 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8 中都存在。所有版本 IE 在打开攻击代码后都可能会崩溃。不过，我们有一些措施来把攻击仅限于 IE 崩溃，以阻止攻击代码执行：

禁用 JavScript。微软安全通报 979352 中包含了这个变通方案。不过，我们也知道这个方案会显著影响许多 Web 站点的使用。
禁用已释放内存随机地址的代码执行。数据执行保护（DEP：Data Execution Prevention）会阻止没有被显式标注为可执行的内存页的代码执行。DEP是以下版本 Windows 系统上的特性：Windows XP Service Pack 2 及更高版本，Windows Server 2003 Service Pack 2 及更高版本，所有版本的 Windows Vista、Windows Server 2008 和 Windows 7。部分平台默认启用了 DEP（具体平台见下）。要了解 DEP 的更多信息，请查看博客的这两篇文章：文章1，文章2。（DEP 在运行于 Windows XP Service Pack 3、Windows Vista Service Pack 1 及更高版本、Windows 7 的 IE8 上默认启用，所以这些平台上的用户不必使用“Microsoft Fix It”来重新配置。）

Windows Vista 启用 DEP 的注意事项

安全通报列出了在 IE7 上开启 DEP的步骤。要在 Windows Vista 上启用 DEP，一定要以 Administrator 账户运行Internet Explorer（右击 IE，选择“Run as Administrator”）。启用 DEP 后，关闭 Internet Explorer，然后重启 Internet Explorer 就会以启用 DEP 的方式浏览了。如果不以 Administrator 账户运行 Internet Explorer，这个选项就是灰色不可编辑的。

如果在 Windows Vista 上用“Microsoft Fix It”来启用 DEP，不会看到 Internet Explorer 的用户界面改变。不过，在重启 Internet Explorer 后，可以使用如 Process Explorer 一类的工具来验证 DEP 已经打开。“Microsoft Fix It”使用应用程序兼容性补偿（appcompat shim）来开启 DEP 时， Internet Explorer 用户界面会显示一个注册表键值。

致谢

非常感谢 Chengyun Chu提供的漏洞利用分析和风险评估帮助；同时感谢 Rob Hensing 提供的 DEP 研究和 FixIt4Me MSI 帮助；感谢 Fermin J.Serna 的漏洞分析。微软许多员工都在为之而努力，感谢大家！

- Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

IE 零日漏洞风险评估相关推荐

基于零日漏洞的自动驾驶预期功能安全风险评估方法
目录一.背景二.建模 1.简易模型 2.详细模型三.风险评估流程步骤一: 步骤二: 步骤三: 步骤四: 步骤五: 四.结论上海控安信息安全轩辕实验室提出基于零日漏洞的自动驾驶预期功能安全危害 ...
MySQL安全分析：缓解MySQL零日漏洞
一些世界上最大的公司(例如Facebook.谷歌和Adobe)以及很多规模较小的企业都在使用Oracle公司的MySQL数据库服务器软件.它的性能.可靠性和易用性使其成为在LAMP(Linux.Apa ...
美国囤积零日漏洞的目的何在？
导读美国政府确实设置有衡量漏洞该不该披露的一个过程,名为"漏洞权衡过程(VEP)".美国联邦政府采用该过程确定每个零日计算机安全漏洞的"待遇":是向公众披露以 ...
Chrome用户请尽快更新：谷歌发现两个严重的零日漏洞
强烈建议:Chrome用户请尽快升级浏览器!在谷歌今天发布的紧急补丁程序中修复了两个严重的零日漏洞,而其中一个已经被黑客利用.Chrome安全小组表示,这两个漏洞均为use-after-free形式, ...
思科bfd静态路由切换_思科路由器曝出两个严重零日漏洞，已被野外利用
点击蓝字关注我们思科在上周末警告说,其运营商级路由器上运行的Cisco IOS XR软件中存在两个严重的内存耗尽拒绝服务(DoS)漏洞,攻击者正在试图利用中. 关于漏洞思科的IOS XR网络操作系 ...
IE新0day漏洞（979352）（又称极光零日漏洞）***将扩散
微软1月14日晚发布公告称,***在最近的针对Google.Adobe以及其他公司的***中利用了IE零日漏洞(编号979352). 有关该漏洞的信息不断被披露,目前网上已经出现完整的恶意***代码. ...
谷歌浏览器修复一键修复_谷歌发布Chrome 86.0.4240.198 修复两个零日漏洞 - Google Chrome 谷歌浏览器...
(来自:Google Blog) 截止发稿时,谷歌尚未披露两个零日漏洞攻击的详情.但在 Chrome 的变更日志中,该公司还是提到了两个通用漏洞披露编号. 首先是 CVE-2020-16013,其描述 ...
谷歌紧急更新，Chrome 今年第二个零日漏洞曝光
整理 | 张仕影出品 | CSDN(ID:CSDNnews) 在曾经市场份额疯长到全球第二的 Firefox 浏览器日益变"糊,并且如今市场占有率已不足 4% 的形势下,2008 年诞生的 ...
Google 员工公开 Windows 10 零日漏洞隐藏 Bug！
今年3月,Google员工Tavis Ormandy‏曾对外披露了Chrome浏览器中存在的零日漏洞--该漏洞允许黑客使用浏览器中加载的恶意PDF文档来获取个人数据,彼时Google官方曾表示修复方案 ...

IE 零日漏洞风险评估

IE 零日漏洞风险评估相关推荐

最新文章

热门文章