微軟Internet Explorer (IE)又有新的零時差漏洞(zero-day vulnerability)!微軟偵測到IE6、7和8版本中存在一個IE遠端執行碼的零時差漏洞(IE9、10不受影響),駭客可利用此漏洞取得電腦控制權並展開目標式攻擊,微軟已於12/29日發出安全警告,並在12/31釋出緊急修補工具。
此零時差漏洞是利用記憶體中一個已經被刪除或沒有被正確配置的物件,然後破壞記憶體,使得攻擊者可遠端執行並具備與使用者相同的權限。AlienVault實驗室經理Jaime Blasco指出,該漏洞可以繞過微軟的安全機制DEP (資料執行防止)和ASLR (位址空間編排隨機化),以成功感染Windows XP和Windows 7系統。
微軟可信賴運算部門經理Dustin Childs表示,雖然目前發現的攻擊行為並不多,但仍建議使用者最好盡快使用該修補工具,並確認他們的防毒軟體處於最新狀態,以避免可能的威脅。
根據目前觀察到的狀況,駭客通常會透過惡意網站或遭竄改的網站感染使用者電腦。若使用者透過存在此漏洞的IE版本造訪惡意網站,就可能遭受強迫下載(drive-by download),即電腦會自動下載惡意程式而受感染,駭客就能取得電腦的控制權,進而竊取電腦中的資料等。
資安公司已經偵測到美國外交關係理事會(Council on Foreign Relations,CFR)和氣輪機能源系統的美國凱普斯通公司(Capstone Turbine Corporation)的網站遭駭客入侵和竄改,因此,若使用者透過IE進入其網站,電腦就可能遭受感染。資安公司FireEye表示,CFR網站在12/21遭駭客入侵,但另一位資安專家Eric Romang指出,CFR網站應該從12/7就遭受入侵,普斯通公司網站則是在12/18。
微軟在1/3發布他們將在下周釋出7個安全更新,包括與Windows、Office與 SharePoint Server等相關的漏洞,不過資安專家質疑,雖然微軟提供了IE漏洞的緊急修補工具,卻沒有將漏洞納入此次的例行更新中。nCircle安全營運總監Andrew Storms認為,微軟恐怕還沒準備好修復這個問題,而他也不認為微軟會釋出例外(out-of-band)安全更新,因此IE漏洞問題最快要等到2/12的例行更新才能真正解決。