扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
微软在其3月安全通告中发布了7个安全公告,解决了20个包括有IE6-10、Office、OneNote,、SharePoint Server、Visio和Silverlight等产品的漏洞。天融信阿尔法实验室建议用户特别关注代号为MS13-21,名称为“Internet Explorer 的累积性安全更新”的安全公告。
这个公告一共解决了从IE6到IE10存在的八个秘密报告的漏洞和一个公开披露的漏洞,而这些漏洞都是释放后重用漏洞。释放后重用漏洞是近来比较热门的漏洞,通过可触发访问已删除对象的特制网站,远程攻击者可利用此漏洞执行任意代码。
微软在一次公告中就发布了9个释放后重用漏洞,这在微软的安全公告的发布惯例中是罕见的。对比天融信阿尔法实验室对2012年2月到12月微软发布的IE漏洞进行统计,全年微软对IE发布的漏洞数是34个,其中名称中包含有“释放后重(使)用”的漏洞数才18个。可以看出,现在微软在发布IE漏洞,特别是释放后使用漏洞的速度和数量上,都比以往有大幅提高。
由于微软的IE推出时间长,前几年一直占市场统治地位,一些黑客集团对其中的漏洞挖掘很深,手中掌握了不少的 0day 漏洞,这些漏洞的类型大多是释放后重用漏洞,被一些黑客集团在一些APT攻击中大肆利用。如埃尔德伍德(Elderwood)集团,在过去的两年中,从入侵Google 中国的极光行动开始,到去年底用在美国外交关系委员会的漏洞CVE-2012-4792,该集团一共推出了多个涉及IE的释放后重用漏洞。
由于IE存在这种客观的问题,Chrome和Firefox就通过迅速查找和发布释放后重用漏洞的方式来宣传自己的安全性,以此来抢占IE的市场。根据天融信阿尔法实验室从2012年2月到12月的统计, Google Chrome 浏览器一共发布了7个大版本包含了25个小版本,共解决了176个漏洞;Mozilla Firefox浏览器一共发布了7个大版本解决了150个漏洞。甚至一些官方机构如德国政府也发布公告警告国民弃用IE!根据最新Wikimedia对非移动浏览器的统计,目前浏览器使用率占前三位的分别是Chrome(41.91)、IE(23.37)和Firefox(18.71)。从这个数据也可以看出,安全升级速度和浏览器使用率的“正相关”关系
微软现在意识到了IE浏览器的安全性不足是IE市场占有率下降的主要原因,于是开始积极挖掘和发布IE的安全补丁,特别是修补最新发现的释放后重用漏洞。从2013年第一季度开始,微软不断发力,在一到三月的安全通报中,已经发布了涉及IE不同版本的释放后重用漏洞数量已经达到9个。相信微软在2013年一定会在IE的补丁的数量和更新速度上超过前一年,并以行动来减缓IE浏览器使用率下滑的势头。
但是Chrome和Firefox这些浏览器也不会示弱,像这次2013年Pwn2own黑客大赛上利用的针对Chrome和Firefox浏览器0day漏洞,这两个厂家不到24小时就推出漏洞补丁。相信今年这些浏览器之间的漏洞发现和修补的速度一定会超过往年,浏览器的安全性也会大为改善,只有这样,用户的浏览器的安全性才会得到进一步加强。这就是市场竞争给用户带来的安全上的好处。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者