2012年9月，微軟IE被發(fā)現(xiàn)存在一個(gè)可以傳播 “毒常青藤”后門(mén)木馬程序的安全漏洞，此漏洞會(huì)導(dǎo)致IE用戶在不知情的正常使用時(shí)訪問(wèn)到一個(gè)惡意網(wǎng)站。對(duì)此德國(guó)政府和安全專家建議人們?cè)谠撀┒吹玫叫迯?fù)之前暫時(shí)停止使用IE。同年年末，微軟發(fā)布了一款名為“Fix It”的修復(fù)補(bǔ)丁將該漏洞永久修復(fù)。今天，來(lái)自商業(yè)網(wǎng)絡(luò)情報(bào)Isight公司的Jon Erickson，在會(huì)上與嘉賓分享了這個(gè)從未公開(kāi)的Fix It補(bǔ)丁工作原理及攻擊利用的具體細(xì)節(jié)。

Fix It是應(yīng)用兼容補(bǔ)丁的一部分，微軟一些網(wǎng)站群都在使用這樣的技術(shù)，這樣的補(bǔ)丁可解決兼容問(wèn)題、通用的方法等等問(wèn)題。另外它還可以在一些老的軟件的發(fā)行，比如Windows2000到2007的過(guò)程中進(jìn)行修補(bǔ)與重新定向等其他工作。

與其他只報(bào)告出函數(shù)的補(bǔ)丁不同，F(xiàn)ix It會(huì)在運(yùn)行5秒鐘之后告訴你工具的變化以及形式的不同之處，我們能通過(guò)它確定微軟到底是不是修補(bǔ)了補(bǔ)丁。

在運(yùn)行其他補(bǔ)丁時(shí)，如果出現(xiàn)跳轉(zhuǎn)，再看它有一些什么樣的東西，在一個(gè)具體情況下，一個(gè)跳轉(zhuǎn)調(diào)用一個(gè)函數(shù)，這是可參考的帳戶，再跳回到現(xiàn)有的代碼上，微軟做這些，它不是免費(fèi)的，當(dāng)然不用可以刪掉，不用進(jìn)行轉(zhuǎn)儲(chǔ)。他們也意識(shí)到內(nèi)存的泄露，在被利用之后，再利用下一個(gè)周期進(jìn)行修理。

我們?nèi)绾文軌蛲ㄟ^(guò)補(bǔ)丁保持它的持久性呢？

Jon Erickson表示不推薦進(jìn)入引擎，“如果做的話要通過(guò)這個(gè)路徑來(lái)完成。同時(shí)，你也要知道，你可以搜索你的注冊(cè)表和文件的系統(tǒng)，我認(rèn)為對(duì)于微軟來(lái)說(shuō)增加簽名到SDB的文件是必要的，你在運(yùn)行這個(gè)SDB文件的時(shí)候，應(yīng)該獲得微軟，或者你信任的那一方說(shuō)你運(yùn)行SDB的文件是合法的，這樣的特性是不會(huì)讓你容易受到攻擊，你必須擁有管理員的權(quán)限，這樣你才能注冊(cè)安裝SDB的文件到系統(tǒng)當(dāng)中。”

我們認(rèn)為補(bǔ)丁能夠提供非常獨(dú)特的機(jī)會(huì)，能確定這個(gè)漏洞的一個(gè)根本的原因。這樣的話，微軟就可以修復(fù)最根本的導(dǎo)致漏洞的原因，然后避免漏洞的攻擊。