黑客的跳板：微软IE零日漏洞攻击

　　Google退出中国的戏码还没演完，矛头已经被指向了IE的漏洞，全世界都在等微软发布更新程序，还好他们也很争气，今天早上我们查看安全公告的时候，发现修补程序已经完全上线了。

　　前情提要

　　日前Google宣布停止配合中国政府过滤搜索内容，原因是他们遭到一连串精密的黑客攻击，该攻击从中国发出、而且特别针对Gmail信箱而来。Google发现不只有他们，至少有其他20家大型企业也遭遇相同的状况，目前全案协同美国政府调查当中。

　　接着McAfee的CTO发表了博客文章，说他们研究发现这一连串攻击是针对微软IE浏览器漏洞的“零日漏洞攻击”，接着媒体们当然就纷纷追打并拒用IE浏览器了。

　　只有IE 6为确定受害者

　　也另一些人开始分析，应该要更精确的指明Windows XP上的IE 6才是目前已知的受害者，况且我们并不在20大企业上班，黑客不会闲着无聊攻击平凡老百姓。

　　这些评论应该是从微软TechNet博客下的这篇文章引申而来的，文中也简单解释了这个代号“极光”行动(Operation Aurora)的黑客手法。撇开政治商业的纷纷扰扰，趁着这次机会长点知识才是最实际的。

　　▲微软TechNet博客列了实际受影响的浏览器，其实只有Windows 2000和XP的IE 6。

　　完全看懂零日攻击

　　所谓的zero day attack(零日攻击)，就是利用还没有人发现的软件漏洞所进行的攻击行为。当漏洞被发现之后，软件公司和黑客之间就像在比赛一样，公司赶着释放修补程序，而黑客抢在空档期间进行攻击行动。因为攻击是从漏洞被发现的第“0”天展开，所以统称为零日攻击。

　　其实在调查行动的一开始，也有人怀疑黑客是针对Adobe Reader的漏洞进行零日攻击。现在许多网站都依靠Flash等插件呈现，所以即使各大浏览器修补漏洞的速度再快，仍有可能经由外挂的bug受到入侵。

　　在TechNet的文章中解释，黑客是利用JavaScript复制、释放特定DOM组件的内存，接着经过随机执行闲置内存来置入攻击程序。所以，先前有人说把IE的安全性设到最高就没事了，其实Server版的Windows操作系统就是这么干，实际上就是禁用JavaScript的意思，当然黑客没得玩了，你也几乎没什么网页可以看了。

　　为什么只打IE 6?

　　至于为什么有些版本与系统的IE不受影响，应该是说，JavaScript的漏洞还是存在，只是DEP和保护模式(protected mode)发挥作用，让黑客无法取得主控权。所以，虽然这次的漏洞修补程序已经发布了，升级新系统和浏览器才是治本之道。

　　预设启用DEP的版本只有Windows XP SP3底下的IE 8、以及Vista SP1和Windows 7。DEP禁止非标示为程序区块的内存被执行，所以才叫“Data Execution Protection”(数据区块拒绝被执行)。而保护模式则是从Vista的预设浏览器IE 7开始引进的功能，Vista设定了6种安全层级(integrity level)，IE所处的保模式只有低安全层级(low)，因此不能修改或删除预设为中(medium)甚至更高层级的档案与程序。

　　微软比你想得勤快

　　另外，虽然大家喜欢取笑微软反应迟钝，漏洞百出，实际上在调查结果释出后，他们就马上发布了“Microsoft Security Advisory (979352)”这篇安全建议，以及刚刚我们引用的Assessing risk of IE 0day vulnerability博客文章，差不多在6天以后的现在释放出更新档，比例行的2月9日早了好几个礼拜。

　　至于打死不换浏览器的“IE 6忠实用户”是怎么搞的呢?仔细想想，如果你不换Vista也不升Windows 7，Windows XP预设浏览器就是IE 6，微软在去年底才随着Windows 7发布SP3更新包，里面还是没有IE 7，想升级的人得自己动手来。对于没有技术或时间自制整合光盘的一般用户来说，装好的XP就是IE 6。

　　是的，虽然极光行动应该打不到你，为了谨慎起见，换用有更多保护机制的IE或其他浏览器会更好。再不然，至少把这个刚出炉的「KB978207」修补程序“打上”吧，IE 6以外的系统也能装。

　　▲KB978207修补程序已经送上Windows Update了，正版用户只要检查一下就能更新。

　　▲如果因为神秘原因不能用在线更新，到微软网站搜寻KB978207就可以下载独立更新程序。