12月23日，360安全中心發(fā)布橙色安全警報(bào)稱(chēng)，IE瀏覽器出現(xiàn)一個(gè)最新的高危"圣誕"0day漏洞，可以導(dǎo)致木馬遠(yuǎn)程入侵網(wǎng)民的電腦，影響IE6、IE7、IE8及所有IE內(nèi)核瀏覽器。據(jù)悉，國(guó)內(nèi)"IE系"瀏覽器整體覆蓋率高達(dá)93%以上，九成以上的中國(guó)網(wǎng)民電腦將受到該漏洞的威脅。截至發(fā)稿前，360安全中心已經(jīng)緊急啟動(dòng)漏洞預(yù)警機(jī)制，目前360安全衛(wèi)士"網(wǎng)盾"模塊能夠成功防御網(wǎng)上公開(kāi)的漏洞攻擊代碼。

360安全專(zhuān)家石曉虹博士介紹說(shuō)，IE"圣誕"漏洞是一個(gè)典型的遠(yuǎn)程代碼執(zhí)行漏洞，它是通過(guò)特定方式重復(fù)導(dǎo)入CSS樣式表而觸發(fā)漏洞。也就是說(shuō)，當(dāng)網(wǎng)友使用IE瀏覽器打開(kāi)一個(gè)利用該漏洞掛馬的網(wǎng)頁(yè)時(shí)，電腦就會(huì)自動(dòng)下載運(yùn)行黑客設(shè)定的木馬，使自己的重要帳號(hào)和個(gè)人隱私被木馬竊取。

經(jīng)分析，由于IE"圣誕"0day漏洞影響面廣、對(duì)最新流行的"Win7+IE8"組合也極具殺傷力，未來(lái)很可能會(huì)成為掛馬網(wǎng)頁(yè)的主要攻擊目標(biāo)。360安全中心監(jiān)測(cè)數(shù)據(jù)表明：目前國(guó)內(nèi)共計(jì)有120余萬(wàn)個(gè)掛馬網(wǎng)頁(yè)，其中包括大批熱門(mén)的小說(shuō)網(wǎng)站和游戲網(wǎng)站，此外還有眾多教育類(lèi)和機(jī)構(gòu)類(lèi)網(wǎng)站也被黑客入侵掛馬，360安全衛(wèi)士"網(wǎng)盾"模塊每天攔截的掛馬網(wǎng)頁(yè)攻擊數(shù)量超過(guò)800萬(wàn)次。

"如果黑客利用IE0day漏洞來(lái)傳播近期泛濫的'網(wǎng)購(gòu)'木馬，其危害將特別嚴(yán)重。"根據(jù)石曉虹介紹，國(guó)內(nèi)主要的網(wǎng)上銀行和網(wǎng)上支付平臺(tái)只支持IE內(nèi)核的瀏覽器，而圣誕節(jié)到元旦期間網(wǎng)上購(gòu)物活動(dòng)非常活躍，如果黑客借機(jī)傳播"購(gòu)物"木馬，通過(guò)漏洞將木馬潛伏在受害網(wǎng)友的電腦中，監(jiān)視并篡改網(wǎng)上支付鏈接，就會(huì)使受害網(wǎng)友把購(gòu)物或轉(zhuǎn)賬的錢(qián)直接打進(jìn)黑客的賬戶里。

據(jù)悉，目前微軟官方網(wǎng)站已對(duì)此漏洞發(fā)布了安全公告（CVE-2010-3971），建議用戶安裝并及時(shí)更新安全軟件，但并沒(méi)有透露何時(shí)將發(fā)布補(bǔ)丁。為此，360安全中心提示用戶，近期上網(wǎng)時(shí)不要隨便打開(kāi)陌生人發(fā)來(lái)的鏈接和電子郵件，應(yīng)注意定期掃描查殺木馬，可以降低網(wǎng)上支付交易的風(fēng)險(xiǎn)。

360安全中心關(guān)于IE"圣誕"0day漏洞的技術(shù)分析

該漏洞是通過(guò)import方式重復(fù)導(dǎo)入CSS樣式表導(dǎo)致的一個(gè)指針引用錯(cuò)誤，通過(guò)unicode字符串的CSS樣式表控制地址。

網(wǎng)上公開(kāi)的漏洞攻擊代碼運(yùn)用了一種最新的攻擊方式，漏洞利用了.net庫(kù)中沒(méi)有經(jīng)過(guò)ASLR隨機(jī)地址的一個(gè)庫(kù)文件，這個(gè)漏洞庫(kù)是.net庫(kù)的".NET IE mime filter DLL"。

漏洞觸發(fā)后進(jìn)入這個(gè)庫(kù)的地址空間范圍，通過(guò)ROP shellcode(Return Oriented Exploitation) 的方式繞過(guò)了IE8 DEP。同時(shí)，一些安全軟件的部分網(wǎng)頁(yè)防護(hù)功能也會(huì)因此失效。

不過(guò)，該漏洞攻擊存在一個(gè)前提條件，就是需要惡意網(wǎng)頁(yè)的訪問(wèn)者電腦中安裝".NET庫(kù)"。目前"Win7+IE8"默認(rèn)安裝了".NET庫(kù)"，可以被黑客利用漏洞直接攻擊"Win7+IE8"組合，再配合一個(gè)本地提權(quán)漏洞就可以繞過(guò)其"低權(quán)限保護(hù)模式"；Windows XP則沒(méi)有默認(rèn)安裝".NET庫(kù)"，因此黑客進(jìn)行大規(guī)模掛馬攻擊還需要開(kāi)發(fā)兼容的攻擊代碼。

360安全衛(wèi)士"網(wǎng)盾"模塊能夠成功防御網(wǎng)上公開(kāi)的漏洞攻擊代碼。目前360安全中心正在進(jìn)一步評(píng)估漏洞威脅，預(yù)期將通過(guò)產(chǎn)品更新來(lái)徹底為用戶免疫漏洞攻擊。