微软安全通报 979352 汇总 - IE 0Day 漏洞风险评估 - 微软中国 TechNet

微软安全通报 979352 汇总 - IE 0Day 漏洞风险评估

这篇博文主要针对 "微软安全通报 979352 - IE 0Day 漏洞风险评估" 进行汇总。更多信息或资料，请参考本篇博文最底下的参考资料。

接下来几天，我会花点时间写一篇有关 DEP 的文章，请大家拭目以待。底下的汇整，请大家先看看吧。

《本文转译自 Microsoft Security Response Center 博客文章 “Further Insight into Security Advisory 979352 and the Threat Landscape”》

大家好！

我们想针对微软安全通报 979352 中报告的漏洞问题向大家做一些深入解析，与之有关的是，我们正在进行的对近日公布的针对 Google 和其它大型企业网络攻击的调查。我们知道，目前关于这个问题的说法很多，而且用户从各种渠道获悉了关于当前形势的很多信息，不过我们想提供一些额外的深入解析。

首先，我们会对威胁形势提供最新信息：外界的猜测很多，所以我们会跟大家分享一下微软通过所有监测系统看到的攻击情况的详细信息；其次，我们会指出和强调用户应该采取的保护措施；最后，我们会告知大家微软为应对当前形势和保护用户所做的不懈努力。

就威胁形势来看，我们仅仅获悉了非常有限的攻击，这些攻击都是针对企业的小型子网的。到目前为止，我们所看到的攻击，包括公开的概念型的攻击代码，都仅仅对 IE6有效。基于对多种攻击源的严格分析，我们到现在都没有看到任何针对 IE7 和 IE8 的成功攻击 (译者补充说明：此漏洞虽影响 IE6/7/8, 但是目前公开的概念型的攻击代码，都仅仅对 IE6有效，详细情况请参考微软安全通报 979352 )。这很可能与在新版本的 IE 和 Windows 系统中改进的安全保护措施有关，大家可以在 Security Research and Defense 博客中看到相关详细描述。总而言之，我们并没有看到使用任何手段的任何大规模攻击，当然目前也没有针对用户的攻击。

我们时刻关注威胁形势的变化，要确保用户能采取合适的措施来保护自己。正因如此，我们一直推荐使用 IE6 和 IE7 的用户尽快升级到 IE8，IE8 中改进的安全保护措施会让大家颇为受益。使用 Windows XP SP2 的用户一定要马上升级到 IE8，同时启用数据执行保护（DEP：Data Execution Protection），或者升级到默认启用 DEP 的 Windows XP SP3。除此之外，用户应该考虑部署安全通报中提供的变通方案和缓解措施。

另外，尽管目前只看到了有限的针对性攻击，我们也意识到形势可能随时改变。因此，我们通过软件安全事件响应计划（SSIRP：Software Security Incident Response Plan）经由多个系统时刻监控威胁形势，包括微软恶意软件防护中心（MMPC：Microsoft Malware Protection Center）、客户服务与支持部门、以及微软主动防御项目（MAPP：Microsoft Protection Program）和微软安全响应联盟（MSRA：Microsoft Security Response Alliance）的合作方。

我们向大家保证，我们全球范围都有部门在马不停蹄地调查研究，以便能为这个漏洞提供高质量的安全补丁，从而进行广泛发布。

我们会持续监测威胁形势，一旦发现任何改变，都会马上告知大家，或者在 MSRC 博客提供每日的更新信息。

谢谢！

George Stathakopoulos
General Manager
可信计算安全

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

《本文转译自Microsoft Security Research & Defense 博客文章“Assessing risk of IE 0day vulnerability”》

昨天，MSRC 发布了微软安全通报 979352 来提醒用户警惕针对 IE6 用户的有限的复杂攻击。今天，攻击样本已经公布。

在谈到细节之前，我们要澄清一个问题。我们目前看到的攻击，包括公开的漏洞利用方法，都仅仅影响使用 IE6 的用户。正如在安全通报中提到的那样，尽管新版本的 IE 会受该漏洞影响，但现有的缓解措施会使漏洞利用难度大大提高。我们想与大家分享关于漏洞和已知的漏洞利用情况的更多信息，以便帮助大家更好地评估所在组织的风险。

不同平台的风险

据我们所知，较新版本的 IE 和在其后发布的 Windows 被漏洞利用的风险大大减弱，因为其中有如下表所示的平台缓解性（注意：本表中不包括服务器平台，因为在服务器上浏览网路的情况较少发生）：

如你所见，目前有风险的客户端配置是运行 IE6 的 Windows XP。我们推荐 Windows XP 平台的 IE6 用户升级到新版本的 Internet Explorer，同时/或启用 DEP。其它平台用户的风险大大减弱。我们还推荐 Windows XP 用户升级到新版本的 Windows 系统。

关于漏洞的更多信息

这个漏洞是由攻击者触发的 Internet Explorer 内存破坏问题，攻击者需使用 JavaScript 来拷贝、发布、随后引用一个特制的文件对象模型（DOM：Document Object Model）元素。如果攻击者能够把攻击代码植入内存，对已释放内存的一个随机地址的引用会导致攻击代码执行。

阻止代码执行的多种方法

漏洞在 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8 中都存在。所有版本 IE 在打开攻击代码后都可能会崩溃。不过，我们有一些措施来把攻击仅限于 IE 崩溃，以阻止攻击代码执行：

禁用 JavScript。微软安全通报 979352 中包含了这个变通方案。不过，我们也知道这个方案会显著影响许多 Web 站点的使用。
禁用已释放内存随机地址的代码执行。数据执行保护（DEP：Data Execution Prevention）会阻止没有被显式标注为可执行的内存页的代码执行。DEP是以下版本 Windows 系统上的特性：Windows XP Service Pack 2 及更高版本，Windows Server 2003 Service Pack 2 及更高版本，所有版本的 Windows Vista、Windows Server 2008 和 Windows 7。部分平台默认启用了 DEP（具体平台见下）。要了解 DEP 的更多信息，请查看博客的这两篇文章：文章1，文章2。（DEP 在运行于 Windows XP Service Pack 3、Windows Vista Service Pack 1 及更高版本、Windows 7 的 IE8 上默认启用，所以这些平台上的用户不必使用“Microsoft Fix It”来重新配置。）

Windows Vista 启用 DEP 的注意事项

安全通报列出了在 IE7 上开启 DEP的步骤。要在 Windows Vista 上启用 DEP，一定要以 Administrator 账户运行Internet Explorer（右击 IE，选择“Run as Administrator”）。启用 DEP 后，关闭 Internet Explorer，然后重启 Internet Explorer 就会以启用 DEP 的方式浏览了。如果不以 Administrator 账户运行 Internet Explorer，这个选项就是灰色不可编辑的。

如果在 Windows Vista 上用“Microsoft Fix It”来启用 DEP，不会看到 Internet Explorer 的用户界面改变。不过，在重启 Internet Explorer 后，可以使用如 Process Explorer 一类的工具来验证 DEP 已经打开。“Microsoft Fix It”使用应用程序兼容性补偿（appcompat shim）来开启 DEP 时， Internet Explorer 用户界面会显示一个注册表键值。

致谢

非常感谢 Chengyun Chu提供的漏洞利用分析和风险评估帮助；同时感谢 Rob Hensing 提供的 DEP 研究和 FixIt4Me MSI 帮助；感谢 Fermin J.Serna 的漏洞分析。微软许多员工都在为之而努力，感谢大家！

- Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

《本文转译自 Microsoft Security Response Center 博客文章 “Security Advisory 979352 – Going out of Band”》

我们要告诉大家 IE 零日漏洞威胁形势的最新情况，同时宣布：微软即将发布一个紧急安全补丁来帮助用户修正此漏洞。

通过对威胁形势的全面监测，我们发现仍然仅仅有非常有限的及个别的针对性攻击。到目前为止，我们所看到的成功攻击都仅仅是针对 IE6 的。我们继续推荐用户 升级到 IE8，其中改进的安全保护措施能有效保护大家。我们还推荐用户部署安全通报 979352 中提供的变通方案和缓解措施。

考虑到这个问题的受关注程度，加上用户对保护自己的信息容易混淆，以及逐步提升的威胁形势，微软决定为这个漏洞发布紧急安全补丁。

考虑到对用户的影响，我们是非常慎重地决定要发布紧急补丁的。不过，我们相信，目前情况下，发布紧急补丁是明智决定。明天我们就会告知大家补丁的发布时间。

一如既往，我们会持续监测威胁形势，请大家关注微软安全响应中心（MSRC：Microsoft Security Response Center）博客来获取最新消息。

谢谢！

George Stathakopoulos
General Manager
可信计算安全

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

大家好, 我是 Richard Chen。

在此提前通知各位微软计划将于北京时间一月二十二日清晨紧急发布大家关注许久的 IE 安全补丁来修正所发现的零日漏洞。最高级别为严重等级。