2012年9月，微軟IE被發(fā)現(xiàn)存在一個可以傳播 “毒常青藤”后門木馬程序的安全漏洞，此漏洞會導致IE用戶在不知情的正常使用時訪問到一個惡意網(wǎng)站。對此德國政府和安全專家建議人們在該漏洞得到修復之前暫時停止使用IE。同年年末，微軟發(fā)布了一款名為“Fix It”的修復補丁將該漏洞永久修復。今天，來自商業(yè)網(wǎng)絡(luò)情報Isight公司的Jon Erickson，在會上與嘉賓分享了這個從未公開的Fix It補丁工作原理及攻擊利用的具體細節(jié)。

Fix It是應(yīng)用兼容補丁的一部分，微軟一些網(wǎng)站群都在使用這樣的技術(shù)，這樣的補丁可解決兼容問題、通用的方法等等問題。另外它還可以在一些老的軟件的發(fā)行，比如Windows2000到2007的過程中進行修補與重新定向等其他工作。

與其他只報告出函數(shù)的補丁不同，F(xiàn)ix It會在運行5秒鐘之后告訴你工具的變化以及形式的不同之處，我們能通過它確定微軟到底是不是修補了補丁。

在運行其他補丁時，如果出現(xiàn)跳轉(zhuǎn)，再看它有一些什么樣的東西，在一個具體情況下，一個跳轉(zhuǎn)調(diào)用一個函數(shù)，這是可參考的帳戶，再跳回到現(xiàn)有的代碼上，微軟做這些，它不是免費的，當然不用可以刪掉，不用進行轉(zhuǎn)儲。他們也意識到內(nèi)存的泄露，在被利用之后，再利用下一個周期進行修理。

我們?nèi)绾文軌蛲ㄟ^補丁保持它的持久性呢？

Jon Erickson表示不推薦進入引擎，“如果做的話要通過這個路徑來完成。同時，你也要知道，你可以搜索你的注冊表和文件的系統(tǒng)，我認為對于微軟來說增加簽名到SDB的文件是必要的，你在運行這個SDB文件的時候，應(yīng)該獲得微軟，或者你信任的那一方說你運行SDB的文件是合法的，這樣的特性是不會讓你容易受到攻擊，你必須擁有管理員的權(quán)限，這樣你才能注冊安裝SDB的文件到系統(tǒng)當中。”

我們認為補丁能夠提供非常獨特的機會，能確定這個漏洞的一個根本的原因。這樣的話，微軟就可以修復最根本的導致漏洞的原因，然后避免漏洞的攻擊。