微软无法在研究人员给定的合理时间里解决最初在2013年10月发现的IE浏览器零日漏洞,因此这个漏洞现在已经正式公开。
惠普零日项目(Zero-Day Initiative, ZDI)是一个在Pwn2Own黑客竞技研究团队。根据他们所发布的一份报告,IE零日漏洞只影响到微软IE 8。当浏览器处理CMarkup对象时,这个漏洞就会暴露无遗。
虽然这个漏洞只影响到IE 8,但是今年2月份在同一个库中又出现另一个问题,攻击者可以利用这个漏洞获得IE 10的本地访问权限。对于这个漏洞,微软在公开宣布这个漏洞之前就发布了一个“修复”工具包。
当用户访问一个恶意网站时,就可能触发当前这个漏洞,如果黑客成功入侵这个漏洞,那么他就可以在受攻击的主机上远程执行任何代码,以及获得与当前用户相同的访问权限。用户交互会加剧这个漏洞的严重性——通用漏洞评分系统将这个漏洞评定为6.8分。
ZDI报告指出:“然而,在所有情况中,攻击者可能并没有办法迫使用户查看攻击者所控制的内容。相反,攻击者可能不得不用一些手段说服用户自己主动去操作。通常就是诱导用户去点击邮件内容或即时消息中的一个超链接,从而让用户访问攻击者的网站,或者诱导用户打开电子邮件的附件。”
ZDI指出,他们第一次是在2013年10月份向微软报告了IE零日(CVE-2014-1770)漏洞,当时是比利时安全研究员Peter Van Eeckhoutte发现了这个漏洞,随后微软在2014年2月确认了这个问题。ZDI通常给供应商预留180天的漏洞处理时间,之后他们才会向公众公开漏洞,这表示微软在4月份之前都有时间修复这个漏洞。
在这个事件中,微软实际上有另一个机会在5月初解决这个问题,但是它同样没有重视ZDI关于公开这个漏洞的警告。近几个月来,微软的安全团队一直在全力奋战——他们被迫在本月初发布了一个用于修复另一个IE零日漏洞的编外补丁,其中还特别包含了一个针对目前已经不提供支持的XP操作系统的修复包。
ZDI报告提供了一些处理IE零日漏洞的技术方法,其中包括将IE安全域设置为“高”,或者配置浏览器为运行Active Scripting之前弹出提示。或许,解决这个问题的最简单方法是安装和运行微软的增强减灾体验工具套件(Enhanced Mitigation Experience Toolkit),微软自己也非常希望在补丁发布之前就找到处理零日漏洞的方法。
