Microsoft IE畸形CSS規則導入遠程代碼執行漏洞發布日期:2010-12-24
CVE ID:CVE-2010-3971
受影響的軟件及系統:
====================
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
綜述:
======
IE在處理網頁CSS文件的引用時存在漏洞,遠程攻擊者可以利用此漏洞通過誘使用戶訪問惡意網頁在用戶系統上執行任意指令,從而完全控制受影響的系統。此漏洞可被用于執行挂馬攻擊,已證實影響IE 6/7/8,影響面和威脅程度都很高,需要引起用戶重視。
此漏洞是一(yī)個0day漏洞,相關的技術細節已經公開(kāi),微軟已經得知(zhī)了此漏洞的存在并開(kāi)始研究處理,但還未提供針對此漏洞安全補丁,強烈建議參照臨時解決方案進行處理以免受此漏洞的影響。
分(fēn)析:
======
IE處理CSS(層疊樣式表)文件中(zhōng)畸形的引用CSS文件自身的命令時存在内存破壞漏洞,漏洞的觸發導緻内存塊釋放(fàng)後重使用的情況,通過精心構造内存中(zhōng)的數據結合Heap Spray等技術有可能利用此漏洞執行任意指令。
此漏洞最初作爲一(yī)個拒絕服務類的問題被公布出來,但是經過研究證實可以用來執行任意指令,目前已經有了可以穩定利用的攻擊工(gōng)具,很有可能被用來大(dà)規模進行挂馬攻擊。
綠盟科技的IPS産品已經加入了針對利用此漏洞進行攻擊的檢測和阻斷,建議客戶立即升級規則阻斷可能的攻擊。
解決方法:
==========
在安裝漏洞相應的補丁之前,Windows用戶可以采用以下(xià)的臨時解決方案來免受漏洞的影響:
* 暫時使用其他非IE内核的浏覽器,比如Chrome、Firefox、Opera 。
* 使用微軟提供的增強緩解體(tǐ)驗工(gōng)具包(EMET)。雖然不能阻止漏洞的觸發,但是可以很大(dà)程度上阻止漏洞的利用。
增強緩解體(tǐ)驗工(gōng)具包(EMET)是一(yī)個實用工(gōng)具,用于防止軟件中(zhōng)的漏洞被成功利用。
從如下(xià)網址下(xià)載增強緩解體(tǐ)驗工(gōng)具包:
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409 安裝以後運行,在界面中(zhōng)點擊“Configure Apps”,在對話(huà)框中(zhōng)點擊“Add”,浏覽到IE所在的安裝目錄(通常是c:\program files\Internet Explorer\)選擇iexplore.exe,點擊“打開(kāi)”,IE就被加入到受保護項目列表中(zhōng),點擊“OK”,如果有IE正在運行的話(huà)需要重啓一(yī)下(xià)應用。
廠商(shāng)狀态:
==========
微軟已經得到了漏洞相關的信息正在處理,但還沒有發布安全補丁,我(wǒ)們建議在安裝官方補丁之前應用本通告的臨時解決方案以降低漏洞的威脅:
http://www.microsoft.com/technet/security/advisory/2488013.mspx附加信息:
==========
http://www.wooyun.org/bugs/wooyun-2010-0885http://www.nsfocus.net/vulndb/16127http://www.breakingpointsystems.com/community/blog/ie-vulnerability/http://www.exploit-db.com/exploits/15746/http://www.microsoft.com/technet/security/advisory/2488013.mspxhttps://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb聲 明
==========
本安全公告僅用來描述可能存在的安全問題,綠盟科技不爲此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不爲此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部内容。未經綠盟科技允許,不得任意修改或者增減此安全公告内容,不得以任何方式将其用于商(shāng)業目的。
關于綠盟科技
============
綠盟科技(NSFOCUS Co., Ltd.)是中(zhōng)國網絡安全領域的領導企業,緻力于網絡和系統安全問題的研究、高端網絡安全産品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競争能力的先進産品,是國内最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見:
http://www.nsfocus.com© 2011 綠盟科技