微軟無法在研究人員給定的合理時間里解決最初在2013年10月發(fā)現(xiàn)的IE瀏覽器零日漏洞，因此這個漏洞現(xiàn)在已經正式公開。

[[114927]]

惠普零日項目(Zero-Day Initiative, ZDI)是一個在Pwn2Own黑客競技研究團隊。根據他們所發(fā)布的一份報告，IE零日漏洞只影響到微軟IE 8。當瀏覽器處理CMarkup對象時，這個漏洞就會暴露無遺。

雖然這個漏洞只影響到IE 8，但是今年2月份在同一個庫中又出現(xiàn)另一個問題，攻擊者可以利用這個漏洞獲得IE 10的本地訪問權限。對于這個漏洞，微軟在公開宣布這個漏洞之前就發(fā)布了一個“修復”工具包。

當用戶訪問一個惡意網站時，就可能觸發(fā)當前這個漏洞，如果黑客成功入侵這個漏洞，那么他就可以在受攻擊的主機上遠程執(zhí)行任何代碼，以及獲得與當前用戶相同的訪問權限。用戶交互會加劇這個漏洞的嚴重性——通用漏洞評分系統(tǒng)將這個漏洞評定為6.8分。

ZDI報告指出：“然而，在所有情況中，攻擊者可能并沒有辦法迫使用戶查看攻擊者所控制的內容。相反，攻擊者可能不得不用一些手段說服用戶自己主動去操作。通常就是誘導用戶去點擊郵件內容或即時消息中的一個超鏈接，從而讓用戶訪問攻擊者的網站，或者誘導用戶打開電子郵件的附件。”

ZDI指出，他們第一次是在2013年10月份向微軟報告了IE零日(CVE-2014-1770)漏洞，當時是比利時安全研究員Peter Van Eeckhoutte發(fā)現(xiàn)了這個漏洞，隨后微軟在2014年2月確認了這個問題。ZDI通常給供應商預留180天的漏洞處理時間，之后他們才會向公眾公開漏洞，這表示微軟在4月份之前都有時間修復這個漏洞。

在這個事件中，微軟實際上有另一個機會在5月初解決這個問題，但是它同樣沒有重視ZDI關于公開這個漏洞的警告。近幾個月來，微軟的安全團隊一直在全力奮戰(zhàn)——他們被迫在本月初發(fā)布了一個用于修復另一個IE零日漏洞的編外補丁，其中還特別包含了一個針對目前已經不提供支持的XP操作系統(tǒng)的修復包。

ZDI報告提供了一些處理IE零日漏洞的技術方法，其中包括將IE安全域設置為“高”，或者配置瀏覽器為運行Active Scripting之前彈出提示?；蛟S，解決這個問題的最簡單方法是安裝和運行微軟的增強減災體驗工具套件(Enhanced Mitigation Experience Toolkit)，微軟自己也非常希望在補丁發(fā)布之前就找到處理零日漏洞的方法。