微软无法在限定时间内解决IE的零日漏洞

日期: 2014-06-22 作者:Brandan Blevins翻译:曾少宁 来源:TechTarget中国 英文

微软无法在研究人员给定的合理时间里解决最初在2013年10月发现的IE浏览器零日漏洞,因此这个漏洞现在已经正式公开。

惠普零日项目(Zero-Day Initiative, ZDI)是一个在Pwn2Own黑客竞技研究团队。根据他们所发布的一份报告,IE零日漏洞只影响到微软IE 8。当浏览器处理CMarkup对象时,这个漏洞就会暴露无遗。

虽然这个漏洞只影响到IE 8,但是今年2月份在同一个库中又出现另一个问题,攻击者可以利用这个漏洞获得IE 10的本地访问权限。对于这个漏洞,微软在公开宣布这个漏洞之前就发布了一个“修复”工具包。

当用户访问一个恶意网站时,就可能触发当前这个漏洞,如果黑客成功入侵这个漏洞,那么他就可以在受攻击的主机上远程执行任何代码,以及获得与当前用户相同的访问权限。用户交互会加剧这个漏洞的严重性——通用漏洞评分系统将这个漏洞评定为6.8分。

ZDI报告指出:“然而,在所有情况中,攻击者可能并没有办法迫使用户查看攻击者所控制的内容。相反,攻击者可能不得不用一些手段说服用户自己主动去操作。通常就是诱导用户去点击邮件内容或即时消息中的一个超链接,从而让用户访问攻击者的网站,或者诱导用户打开电子邮件的附件。”

ZDI指出,他们第一次是在2013年10月份向微软报告了IE零日(CVE-2014-1770)漏洞,当时是比利时安全研究员Peter Van Eeckhoutte发现了这个漏洞,随后微软在2014年2月确认了这个问题。ZDI通常给供应商预留180天的漏洞处理时间,之后他们才会向公众公开漏洞,这表示微软在4月份之前都有时间修复这个漏洞。

在这个事件中,微软实际上有另一个机会在5月初解决这个问题,但是它同样没有重视ZDI关于公开这个漏洞的警告。近几个月来,微软的安全团队一直在全力奋战——他们被迫在本月初发布了一个用于修复另一个IE零日漏洞的编外补丁,其中还特别包含了一个针对目前已经不提供支持的XP操作系统的修复包。

ZDI报告提供了一些处理IE零日漏洞的技术方法,其中包括将IE安全域设置为“高”,或者配置浏览器为运行Active Scripting之前弹出提示。或许,解决这个问题的最简单方法是安装和运行微软的增强减灾体验工具套件(Enhanced Mitigation Experience Toolkit),微软自己也非常希望在补丁发布之前就找到处理零日漏洞的方法。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Brandan Blevins
Brandan Blevins

As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐