舊版IE瀏覽器驚現新零時漏洞 最新版不受影響

據國外媒體報導，安全廠商FireEye在微軟IE瀏覽器中發現了一個新的零時安全性漏洞，並且該漏洞可能會被網路犯罪分子廣泛利用。 據悉，受到該漏洞影響只有IE6、7和8，IE9和10不存在這個安全性漏洞。

Dustin Childs of Microsoft Trustworthy Computing對媒體表示：「微軟發佈了2794220號安全公告，告知使用者IE6、7和8中存在一個安全性漏洞。 雖然我們正在積極開發一款簡單易用的一鍵式補丁來解決這個問題，我們強烈建議使用者採取公告中所述的緩解措施和應急方案。 」

FireEye在12月21日發現，Council on Foreign Relations(CFR)網站已經被攻破並且被植入了惡意內容。 CFR發言人大衛米克黑爾(David Mikhail)週四對The Washington Free Beacon稱：「CFR網站安全團隊已經知道了這個問題，目前正在進行調查。 我們還將努力降低未來發生同類事件的可能性。 」

據悉，惡意JavaScript只有在英語、簡體中文、繁體中文、日文、韓文或俄文版IE瀏覽器中才能利用惡意程式碼。 一旦初步檢測通過，JavaScript就會載入一個名為「today.swf」的Flash檔。 這個檔最終會觸發heap spray攻擊並下載一個名為「xsainfo.jpg」的檔。

CERT知識庫(VU#154201)中提供了該漏洞的更多詳細資訊。

關於該漏洞的技術資訊如下：

微軟IE包含了一個位於mshtml CDwnBindInfo之中的「釋放後使用」(use-after-free)漏洞。 專門針對該漏洞編寫的JavaScript可能會令IE創建一個包含CDwnBindInfo物件的CDoc物件。 這個物件也許不用移除指標就可被釋放，結果就會導致IE嘗試呼叫一個不正確記憶體位址。 配合使用heap spray或其他技術，攻擊者就可以在這個位址中放置任意代碼。 這個漏洞目前已經被廣泛利用，使用Adobe Flash來實現heap spray攻擊和使用JAVA來提供ROP(Return Oriented Programming)控制項。

由於現在還沒有可用的補丁，FireEye在報告中提供了一些應急措施：使用微軟Enhanced Mitigation Experience Toolkit(EMET)、禁用IE中的Flash ActiveX控制、 禁用IE中的JAVA。 FireEye建議使用者不要使用IE8或更早版本的IE瀏覽器，升級到IE9或10，或是使用一款不同的瀏覽器比如谷歌(微博)Chrome。