NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

紧急通告

绿盟科技紧急通告(Alert2010-10)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Microsoft IE CSS标签解析远程代码执行0day漏洞

发布日期：2010-11-04

CVE ID：CVE-2010-3962

受影响的软件及系统：
====================
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8

综述：
======
IE在处理网页中的特定样式标签时存在漏洞，远程攻击者可以利用此漏洞通过诱使用户访问恶意网页在用户系统上执行任意指令，从而完全控制受影响的系统。此漏洞可方便地被用于执行挂马攻击，已证实影响IE 6/7/8，影响面和威胁程度都很高，需要引起用户重视。

此漏洞是一个0day漏洞，相关的技术细节已经公开，微软已经得知了此漏洞的存在并开始研究处理，但还未提供针对此漏洞安全补丁，强烈建议参照临时解决方案进行处理以免受此漏洞的影响。

分析：
======
IE处理特定组合的网页样式标签定义时存在内存破坏漏洞，漏洞的触发导致修改内存中会被调用的虚表指针，通过精心构造内存中的数据结合Heap Spray等技术有可能利用此漏洞执行任意指令。

此漏洞已被利用来执行一些有针对性的攻击，随着技术细节的进一步公开，有可能被用来大规模进行挂马攻击。

绿盟科技的IPS产品已经加入了针对利用此漏洞进行攻击的检测和阻断，建议客户立即升级规则阻断可能的攻击。

解决方法：
==========
在安装漏洞相应的补丁之前，Windows用户可以采用以下的临时解决方案来免受漏洞的影响，这些措施虽然不能阻止漏洞的触发，但是可以极大程度上阻止漏洞的利用：

* 使用微软提供的增强缓解体验工具包（EMET）。

  增强缓解体验工具包（EMET）是一个实用工具，用于防止软件中的漏洞被成功利用。

  从如下网址下载增强缓解体验工具包：
  http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409

  安装以后运行，在界面中点击“Configure Apps”，在对话框中点击“Add”，浏览到IE所在的安装目录（通常是c:\program files\Internet Explorer\）选择iexplore.exe，点击“打开”，IE就被加入到受保护项目列表中，点击“OK”，如果有IE正在运行的话需要重启一下应用。

* 开启IE浏览器的DEP（数据执行保护）功能。

  IE 8已经默认开启了DEP功能。对于IE 6 SP2或IE 7启用DEP，可以采用如下方法开启：

  方法1：下载安装微软提供的开启DEP补丁
  http://download.microsoft.com/download/C/A/D/CAD9DFDF-AF35-4712-B876-B2EEA708495C/MicrosoftFixit50285.msi

  方法2：手工开启全局DEP
  对于Windows XP用户，如果之前没有手工调整过DEP策略，请点击开始菜单的“运行”，输入“sysdm.cpl”，点击“确定”。程序运行以后，点击“高级”分页，然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页，选择“除所选之外，为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。

厂商状态：
==========
微软已经得到了漏洞相关的信息正在处理，但还没有发布安全补丁，我们建议在安装官方补丁之前应用本通告的临时解决方案以降低漏洞的威胁：

http://www.microsoft.com/technet/security/advisory/2458511.mspx

附加信息：
==========
http://www.nsfocus.net/vulndb/15972
http://www.microsoft.com/technet/security/advisory/2458511.mspx
http://www.symantec.com/connect/blogs/new-ie-0-day-used-targeted-attacks
http://blogs.technet.com/b/srd/archive/2010/01/18/additional-information-about-dep-and-the-internet-explorer-0day-vulnerability.aspx

声明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客