12月23日，360安全中心發(fā)布橙色安全警報稱，IE瀏覽器出現(xiàn)一個最新的高危"圣誕"0day漏洞，可以導致木馬遠程入侵網(wǎng)民的電腦，影響IE6、IE7、IE8及所有IE內(nèi)核瀏覽器。據(jù)悉，國內(nèi)"IE系"瀏覽器整體覆蓋率高達93%以上，九成以上的中國網(wǎng)民電腦將受到該漏洞的威脅。截至發(fā)稿前，360安全中心已經(jīng)緊急啟動漏洞預警機制，目前360安全衛(wèi)士"網(wǎng)盾"模塊能夠成功防御網(wǎng)上公開的漏洞攻擊代碼。

360安全專家石曉虹博士介紹說，IE"圣誕"漏洞是一個典型的遠程代碼執(zhí)行漏洞，它是通過特定方式重復導入CSS樣式表而觸發(fā)漏洞。也就是說，當網(wǎng)友使用IE瀏覽器打開一個利用該漏洞掛馬的網(wǎng)頁時，電腦就會自動下載運行黑客設定的木馬，使自己的重要帳號和個人隱私被木馬竊取。

經(jīng)分析，由于IE"圣誕"0day漏洞影響面廣、對最新流行的"Win7+IE8"組合也極具殺傷力，未來很可能會成為掛馬網(wǎng)頁的主要攻擊目標。360安全中心監(jiān)測數(shù)據(jù)表明：目前國內(nèi)共計有120余萬個掛馬網(wǎng)頁，其中包括大批熱門的小說網(wǎng)站和游戲網(wǎng)站，此外還有眾多教育類和機構(gòu)類網(wǎng)站也被黑客入侵掛馬，360安全衛(wèi)士"網(wǎng)盾"模塊每天攔截的掛馬網(wǎng)頁攻擊數(shù)量超過800萬次。

"如果黑客利用IE0day漏洞來傳播近期泛濫的'網(wǎng)購'木馬，其危害將特別嚴重。"根據(jù)石曉虹介紹，國內(nèi)主要的網(wǎng)上銀行和網(wǎng)上支付平臺只支持IE內(nèi)核的瀏覽器，而圣誕節(jié)到元旦期間網(wǎng)上購物活動非?；钴S，如果黑客借機傳播"購物"木馬，通過漏洞將木馬潛伏在受害網(wǎng)友的電腦中，監(jiān)視并篡改網(wǎng)上支付鏈接，就會使受害網(wǎng)友把購物或轉(zhuǎn)賬的錢直接打進黑客的賬戶里。

據(jù)悉，目前微軟官方網(wǎng)站已對此漏洞發(fā)布了安全公告（CVE-2010-3971），建議用戶安裝并及時更新安全軟件，但并沒有透露何時將發(fā)布補丁。為此，360安全中心提示用戶，近期上網(wǎng)時不要隨便打開陌生人發(fā)來的鏈接和電子郵件，應注意定期掃描查殺木馬，可以降低網(wǎng)上支付交易的風險。

360安全中心關(guān)于IE"圣誕"0day漏洞的技術(shù)分析

該漏洞是通過import方式重復導入CSS樣式表導致的一個指針引用錯誤，通過unicode字符串的CSS樣式表控制地址。

網(wǎng)上公開的漏洞攻擊代碼運用了一種最新的攻擊方式，漏洞利用了.net庫中沒有經(jīng)過ASLR隨機地址的一個庫文件，這個漏洞庫是.net庫的".NET IE mime filter DLL"。

漏洞觸發(fā)后進入這個庫的地址空間范圍，通過ROP shellcode(Return Oriented Exploitation) 的方式繞過了IE8 DEP。同時，一些安全軟件的部分網(wǎng)頁防護功能也會因此失效。

不過，該漏洞攻擊存在一個前提條件，就是需要惡意網(wǎng)頁的訪問者電腦中安裝".NET庫"。目前"Win7+IE8"默認安裝了".NET庫"，可以被黑客利用漏洞直接攻擊"Win7+IE8"組合，再配合一個本地提權(quán)漏洞就可以繞過其"低權(quán)限保護模式"；Windows XP則沒有默認安裝".NET庫"，因此黑客進行大規(guī)模掛馬攻擊還需要開發(fā)兼容的攻擊代碼。

360安全衛(wèi)士"網(wǎng)盾"模塊能夠成功防御網(wǎng)上公開的漏洞攻擊代碼。目前360安全中心正在進一步評估漏洞威脅，預期將通過產(chǎn)品更新來徹底為用戶免疫漏洞攻擊。