科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道黑客的跳板:微软IE零日漏洞攻击

黑客的跳板:微软IE零日漏洞攻击

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Google退出中国的戏码还没演完,矛头已经被指向了IE的漏洞,全世界都在等微软发布更新程序,还好他们也很争气,今天早上我们查看安全公告的时候,发现修补程序已经完全上线了。

来源:eNet 2010年1月23日

关键字: 零日漏洞 微软 黑客

  • 评论
  • 分享微博
  • 分享邮件

  Google退出中国的戏码还没演完,矛头已经被指向了IE的漏洞,全世界都在等微软发布更新程序,还好他们也很争气,今天早上我们查看安全公告的时候,发现修补程序已经完全上线了。

  前情提要

  日前Google宣布停止配合中国政府过滤搜索内容,原因是他们遭到一连串精密的黑客攻击,该攻击从中国发出、而且特别针对Gmail信箱而来。Google发现不只有他们,至少有其他20家大型企业也遭遇相同的状况,目前全案协同美国政府调查当中。

  接着McAfee的CTO发表了博客文章,说他们研究发现这一连串攻击是针对微软IE浏览器漏洞的“零日漏洞攻击”,接着媒体们当然就纷纷追打并拒用IE浏览器了。

  只有IE 6为确定受害者

  也另一些人开始分析,应该要更精确的指明Windows XP上的IE 6才是目前已知的受害者,况且我们并不在20大企业上班,黑客不会闲着无聊攻击平凡老百姓。

  这些评论应该是从微软TechNet博客下的这篇文章引申而来的,文中也简单解释了这个代号“极光”行动(Operation Aurora)的黑客手法。撇开政治商业的纷纷扰扰,趁着这次机会长点知识才是最实际的。

  

微软零日漏洞

  ▲微软TechNet博客列了实际受影响的浏览器,其实只有Windows 2000和XP的IE 6。

  完全看懂零日攻击

  所谓的zero day attack(零日攻击),就是利用还没有人发现的软件漏洞所进行的攻击行为。当漏洞被发现之后,软件公司和黑客之间就像在比赛一样,公司赶着释放修补程序,而黑客抢在空档期间进行攻击行动。因为攻击是从漏洞被发现的第“0”天展开,所以统称为零日攻击。

  其实在调查行动的一开始,也有人怀疑黑客是针对Adobe Reader的漏洞进行零日攻击。现在许多网站都依靠Flash等插件呈现,所以即使各大浏览器修补漏洞的速度再快,仍有可能经由外挂的bug受到入侵。

  在TechNet的文章中解释,黑客是利用JavaScript复制、释放特定DOM组件的内存,接着经过随机执行闲置内存来置入攻击程序。所以,先前有人说把IE的安全性设到最高就没事了,其实Server版的Windows操作系统就是这么干,实际上就是禁用JavaScript的意思,当然黑客没得玩了,你也几乎没什么网页可以看了。

  为什么只打IE 6?

  至于为什么有些版本与系统的IE不受影响,应该是说,JavaScript的漏洞还是存在,只是DEP和保护模式(protected mode)发挥作用,让黑客无法取得主控权。所以,虽然这次的漏洞修补程序已经发布了,升级新系统和浏览器才是治本之道。

  预设启用DEP的版本只有Windows XP SP3底下的IE 8、以及Vista SP1和Windows 7。DEP禁止非标示为程序区块的内存被执行,所以才叫“Data Execution Protection”(数据区块拒绝被执行)。而保护模式则是从Vista的预设浏览器IE 7开始引进的功能,Vista设定了6种安全层级(integrity level),IE所处的保模式只有低安全层级(low),因此不能修改或删除预设为中(medium)甚至更高层级的档案与程序。

  微软比你想得勤快

  另外,虽然大家喜欢取笑微软反应迟钝,漏洞百出,实际上在调查结果释出后,他们就马上发布了“Microsoft Security Advisory (979352)”这篇安全建议,以及刚刚我们引用的Assessing risk of IE 0day vulnerability博客文章,差不多在6天以后的现在释放出更新档,比例行的2月9日早了好几个礼拜。

  至于打死不换浏览器的“IE 6忠实用户”是怎么搞的呢?仔细想想,如果你不换Vista也不升Windows 7,Windows XP预设浏览器就是IE 6,微软在去年底才随着Windows 7发布SP3更新包,里面还是没有IE 7,想升级的人得自己动手来。对于没有技术或时间自制整合光盘的一般用户来说,装好的XP就是IE 6。

  是的,虽然极光行动应该打不到你,为了谨慎起见,换用有更多保护机制的IE或其他浏览器会更好。再不然,至少把这个刚出炉的「KB978207」修补程序“打上”吧,IE 6以外的系统也能装。

  

null

  ▲KB978207修补程序已经送上Windows Update了,正版用户只要检查一下就能更新。

  

null

  ▲如果因为神秘原因不能用在线更新,到微软网站搜寻KB978207就可以下载独立更新程序。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章