探究IE浏览器升级加速的深层原因

微软在其3月安全通告中发布了7个安全公告，解决了20个包括有IE6-10、Office、OneNote，、SharePoint Server、Visio和Silverlight等产品的漏洞。天融信阿尔法实验室建议用户特别关注代号为MS13-21，名称为“Internet Explorer 的累积性安全更新”的安全公告。

这个公告一共解决了从IE6到IE10存在的八个秘密报告的漏洞和一个公开披露的漏洞，而这些漏洞都是释放后重用漏洞。释放后重用漏洞是近来比较热门的漏洞，通过可触发访问已删除对象的特制网站，远程攻击者可利用此漏洞执行任意代码。

微软在一次公告中就发布了9个释放后重用漏洞，这在微软的安全公告的发布惯例中是罕见的。对比天融信阿尔法实验室对2012年2月到12月微软发布的IE漏洞进行统计，全年微软对IE发布的漏洞数是34个，其中名称中包含有“释放后重(使)用”的漏洞数才18个。可以看出，现在微软在发布IE漏洞，特别是释放后使用漏洞的速度和数量上，都比以往有大幅提高。

由于微软的IE推出时间长，前几年一直占市场统治地位，一些黑客集团对其中的漏洞挖掘很深，手中掌握了不少的 0day 漏洞，这些漏洞的类型大多是释放后重用漏洞，被一些黑客集团在一些APT攻击中大肆利用。如埃尔德伍德(Elderwood)集团，在过去的两年中，从入侵Google 中国的极光行动开始，到去年底用在美国外交关系委员会的漏洞CVE-2012-4792,该集团一共推出了多个涉及IE的释放后重用漏洞。

由于IE存在这种客观的问题，Chrome和Firefox就通过迅速查找和发布释放后重用漏洞的方式来宣传自己的安全性，以此来抢占IE的市场。根据天融信阿尔法实验室从2012年2月到12月的统计， Google Chrome 浏览器一共发布了7个大版本包含了25个小版本，共解决了176个漏洞;Mozilla Firefox浏览器一共发布了7个大版本解决了150个漏洞。甚至一些官方机构如德国政府也发布公告警告国民弃用IE!根据最新Wikimedia对非移动浏览器的统计，目前浏览器使用率占前三位的分别是Chrome(41.91)、IE(23.37)和Firefox(18.71)。从这个数据也可以看出，安全升级速度和浏览器使用率的“正相关”关系

微软现在意识到了IE浏览器的安全性不足是IE市场占有率下降的主要原因，于是开始积极挖掘和发布IE的安全补丁，特别是修补最新发现的释放后重用漏洞。从2013年第一季度开始，微软不断发力，在一到三月的安全通报中，已经发布了涉及IE不同版本的释放后重用漏洞数量已经达到9个。相信微软在2013年一定会在IE的补丁的数量和更新速度上超过前一年，并以行动来减缓IE浏览器使用率下滑的势头。

但是Chrome和Firefox这些浏览器也不会示弱，像这次2013年Pwn2own黑客大赛上利用的针对Chrome和Firefox浏览器0day漏洞，这两个厂家不到24小时就推出漏洞补丁。相信今年这些浏览器之间的漏洞发现和修补的速度一定会超过往年，浏览器的安全性也会大为改善，只有这样，用户的浏览器的安全性才会得到进一步加强。这就是市场竞争给用户带来的安全上的好处。