扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Google退出中国的戏码还没演完,矛头已经被指向了IE的漏洞,全世界都在等微软发布更新程序,还好他们也很争气,今天早上我们查看安全公告的时候,发现修补程序已经完全上线了。
前情提要
日前Google宣布停止配合中国政府过滤搜索内容,原因是他们遭到一连串精密的黑客攻击,该攻击从中国发出、而且特别针对Gmail信箱而来。Google发现不只有他们,至少有其他20家大型企业也遭遇相同的状况,目前全案协同美国政府调查当中。
接着McAfee的CTO发表了博客文章,说他们研究发现这一连串攻击是针对微软IE浏览器漏洞的“零日漏洞攻击”,接着媒体们当然就纷纷追打并拒用IE浏览器了。
只有IE 6为确定受害者
也另一些人开始分析,应该要更精确的指明Windows XP上的IE 6才是目前已知的受害者,况且我们并不在20大企业上班,黑客不会闲着无聊攻击平凡老百姓。
这些评论应该是从微软TechNet博客下的这篇文章引申而来的,文中也简单解释了这个代号“极光”行动(Operation Aurora)的黑客手法。撇开政治商业的纷纷扰扰,趁着这次机会长点知识才是最实际的。
▲微软TechNet博客列了实际受影响的浏览器,其实只有Windows 2000和XP的IE 6。
完全看懂零日攻击
所谓的zero day attack(零日攻击),就是利用还没有人发现的软件漏洞所进行的攻击行为。当漏洞被发现之后,软件公司和黑客之间就像在比赛一样,公司赶着释放修补程序,而黑客抢在空档期间进行攻击行动。因为攻击是从漏洞被发现的第“0”天展开,所以统称为零日攻击。
其实在调查行动的一开始,也有人怀疑黑客是针对Adobe Reader的漏洞进行零日攻击。现在许多网站都依靠Flash等插件呈现,所以即使各大浏览器修补漏洞的速度再快,仍有可能经由外挂的bug受到入侵。
在TechNet的文章中解释,黑客是利用JavaScript复制、释放特定DOM组件的内存,接着经过随机执行闲置内存来置入攻击程序。所以,先前有人说把IE的安全性设到最高就没事了,其实Server版的Windows操作系统就是这么干,实际上就是禁用JavaScript的意思,当然黑客没得玩了,你也几乎没什么网页可以看了。
为什么只打IE 6?
至于为什么有些版本与系统的IE不受影响,应该是说,JavaScript的漏洞还是存在,只是DEP和保护模式(protected mode)发挥作用,让黑客无法取得主控权。所以,虽然这次的漏洞修补程序已经发布了,升级新系统和浏览器才是治本之道。
预设启用DEP的版本只有Windows XP SP3底下的IE 8、以及Vista SP1和Windows 7。DEP禁止非标示为程序区块的内存被执行,所以才叫“Data Execution Protection”(数据区块拒绝被执行)。而保护模式则是从Vista的预设浏览器IE 7开始引进的功能,Vista设定了6种安全层级(integrity level),IE所处的保模式只有低安全层级(low),因此不能修改或删除预设为中(medium)甚至更高层级的档案与程序。
微软比你想得勤快
另外,虽然大家喜欢取笑微软反应迟钝,漏洞百出,实际上在调查结果释出后,他们就马上发布了“Microsoft Security Advisory (979352)”这篇安全建议,以及刚刚我们引用的Assessing risk of IE 0day vulnerability博客文章,差不多在6天以后的现在释放出更新档,比例行的2月9日早了好几个礼拜。
至于打死不换浏览器的“IE 6忠实用户”是怎么搞的呢?仔细想想,如果你不换Vista也不升Windows 7,Windows XP预设浏览器就是IE 6,微软在去年底才随着Windows 7发布SP3更新包,里面还是没有IE 7,想升级的人得自己动手来。对于没有技术或时间自制整合光盘的一般用户来说,装好的XP就是IE 6。
是的,虽然极光行动应该打不到你,为了谨慎起见,换用有更多保护机制的IE或其他浏览器会更好。再不然,至少把这个刚出炉的「KB978207」修补程序“打上”吧,IE 6以外的系统也能装。
▲KB978207修补程序已经送上Windows Update了,正版用户只要检查一下就能更新。
▲如果因为神秘原因不能用在线更新,到微软网站搜寻KB978207就可以下载独立更新程序。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者