首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2010-04)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Microsoft IE畸形对象操作内存破坏漏洞

发布日期:2010-03-10

CVE ID:CVE-2010-0806

受影响的软件及系统:
====================
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0

未受影响的软件及系统:
======================
Microsoft Internet Explorer 5.01 SP4
Microsoft Internet Explorer 8.0

综述:
======
Microsoft IE是微软Windows操作系统自带的浏览器软件。

IE在处理非法的对象操作时存在内存破坏漏洞,远程攻击者可能利用此漏洞通过诱使用户访问恶意网页在用户系统上执行指令,从而完全控制用户系统。

此漏洞是一个0day漏洞,目前已经报告有利用此漏洞的攻击出现,微软已经得知了此漏洞的存在并开始研究处理,但还未提供针对此漏洞安全补丁。

分析:
======
该漏洞是IE浏览器在处理特定类型和序列的对象操作过程中出现的问题。

如果在派生出来的对象中初始化特定操作,并在之后的操作中修改删除源对象,就会触发一个虚函数指针调用操作。因为对象被删除后,原来虚函数指针对应的内存可能存放其它数据,所以此时会将不确定的内存数据作为指针进行执行。通过精心构造内存中的数据结合Heap Spray等技术有可能利用此漏洞执行任意指令。

此漏洞已被利用来执行一些有针对性的攻击,并随着技术细节的扩散有可能被用来大规模进行挂马攻击。

解决方法:
==========
Windows用户可以采用下面几种临时解决方案来减少漏洞威胁:

* 修改系统对iepeers.dll文件的访问权限。
  
  对32位系统,执行如下命令:
  
  Echo y| cacls %WINDIR%\SYSTEM32\iepeers.DLL /E /P everyone:N
  
  对64位系统,执行如下命令:
  
  Echo y| cacls %WINDIR%\SYSWOW64\iepeers.DLL /E /P everyone:N
  
  调整访问权限以后,打印和Web文件夹之类的扩展功能可能受到影响。

* 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。

* 将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

* 对Internet Explorer 6 SP2或Internet Explorer 7启用DEP。

  方法1:下载安装微软提供的开启DEP补丁:
  http://go.microsoft.com/?linkid=9668626

  方法2:手工开启全局DEP:
  对于Windows XP用户,如果之前没有手工调整过DEP策略,请点击开始菜单的“运行”,输入“sysdm.cpl”,点击“确定”。点击“高级”分页,然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页,选择“除所选之外,为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。

厂商状态:
==========
微软已经发布了涉及此漏洞的安全通告,但还没有发布安全补丁,我们建议在安装官方补丁之前应用本通告的临时解决方法以降低漏洞的威胁:

http://www.microsoft.com/technet/security/advisory/981374.mspx

附加信息:
==========
http://www.nsfocus.net/vulndb/14600
http://www.microsoft.com/technet/security/advisory/981374.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技