首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2008-10)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

IE 严重0day漏洞正在被积极利用

发布日期:2008-12-10

CVE ID:CVE-2008-4844

受影响的软件及系统:
====================
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 8.0

综述:
======
微软IE 浏览器被发现存在一个严重0day漏洞,攻击者利用这些漏洞可能远程入侵并完全控制系统。
    
    我们强烈建议用户暂时不要使用IE,改用Firefox、Opera等非IE核心的网络浏览器,并密切关注微软的安全更新和绿盟科技网站,并在补丁发布后及时安装补丁消除漏洞影响。

分析:
======
HTML文件中错误格式的标签可以导致微软IE浏览器使用已被释放的对象的内存作为虚函数指针进行调用。成功利用该漏洞可以执行任意代码。

    该漏洞是一个“0day”漏洞,被发现后通过地下漏洞黑市交易而扩散,进而被大量“挂马”攻击者所使用。所以目前尚无微软官方安全补丁可用。

    绿盟科技“矩阵内网安全管理系统”可以检测和防护针对该漏洞的攻击。

解决方法:
==========
临时解决方案:
    
    * 暂时不要使用IE浏览器,可以使用Opera或Firefox。

    * 在IE安全设置中禁用JavaScript,虽然不能阻止漏洞的触发但可能有助于增加攻击者利用漏洞的难度。

    * 为IE打开系统的数据执行保护功能:

       我的电脑 -> 属性  -> 高级 -> 性能  -> 设置 -> 数据执行保护

       如果下面的框里有选项,确认在条目“Internet Explorer”前没有打勾。

       重启系统以使保护生效。

    * 将杀毒软件的病毒库及时升级到最新版本。

    * 禁用oleDB32.dll。注:这可能导致所有依赖这个dll的程序无法正常工作,只建议有经验的用户采用此方法。

      Regsvr32.exe /u "Program Files\Common Files\System\Ole DB\oledb32.dll"

      对64位系统还需要执行下列命令:
      Regsvr32.exe /u "Program Files (x86)\Common Files\System\Ole DB\oledb32.dll"

厂商状态:
==========
微软目前尚未提供该漏洞的补丁,安装12月的安全更新并不能消除该漏洞。针对此漏洞微软已经发布了一个安全通告,其中介绍了一些临时解决方案:
http://www.microsoft.com/technet/security/advisory/961051.mspx

附加信息:
==========
1. http://www.nsfocus.net/vulndb/12706
2. http://www.scanw.com/blog/archives/303
3. http://www.nsfocus.net/index.php?act=alert&do=view&aid=95
4. http://www.microsoft.com/technet/security/advisory/961051.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技