微软官方发表安全咨文承认,包括IE6至IE8在内的多个Internet Explorer版本均存在“零日”漏洞,不法分子可以利用它劫持用户电脑,传播恶意代码。
据咨文描述,通过控制IE访问并执行已被销毁的脚本对象,远程代码即可利用堆栈溢出触发漏洞,从而获取本地系统控制权。一次完整的入侵由以下几步完成:
- JavaScript脚本触发Internet Explorer安全漏洞;
- 通过“堆喷射”(Heap Spray)或其他攻击方式确保脚本对象销毁后释放的内存空间能被后续步骤利用;
- 通过某些方法绕过平台级ASLR(空间格局随机化)安全机制;
- 通过某些方法绕过平台级DEP(数据执行保护)安全机制。
攻击者可以通过多种方式实施入侵,其中包括架设恶意网站,或在其他网站的用户提交内容或网络广告中注入恶意代码等。但无论何种方式,攻击行为都只能在用户访问上述网站时进行。因此,引诱他人点击电子邮件或即时消息中的链接,是不法分子的典型手段。入侵成功后,受控制的电脑将成为下一个传播恶意代码的网络主机,继续感染其他用户。
美国计算机安全公司FireEye高级科学家达利安·肯德拉德(Darien Kindlund)宣称,从12月21日起,美国外交关系委员会网站就已经被注入了恶意代码,其堆喷射部分则可确认是利用Adobe Flash完成,哪怕打全补丁的IE8也无法幸免。微软也表示,已发现有攻击者企图利用该漏洞,其主要入侵目标是装有IE8的Windows系统,不过版本较高的IE9和IE10并未受到波及。
微软在安全咨文中还提到:“IE团队正在全力以赴开发针对该漏洞的安全更新。在更新发布之前,用户可以通过禁用JavaScript和Flash等手段来避免潜在风险。”