微軟無法在研究人員給定的合理時(shí)間里解決最初在2013年10月發(fā)現(xiàn)的IE瀏覽器零日漏洞，因此這個(gè)漏洞現(xiàn)在已經(jīng)正式公開。

[[114927]]

惠普零日項(xiàng)目(Zero-Day Initiative, ZDI)是一個(gè)在Pwn2Own黑客競(jìng)技研究團(tuán)隊(duì)。根據(jù)他們所發(fā)布的一份報(bào)告，IE零日漏洞只影響到微軟IE 8。當(dāng)瀏覽器處理CMarkup對(duì)象時(shí)，這個(gè)漏洞就會(huì)暴露無遺。

雖然這個(gè)漏洞只影響到IE 8，但是今年2月份在同一個(gè)庫(kù)中又出現(xiàn)另一個(gè)問題，攻擊者可以利用這個(gè)漏洞獲得IE 10的本地訪問權(quán)限。對(duì)于這個(gè)漏洞，微軟在公開宣布這個(gè)漏洞之前就發(fā)布了一個(gè)“修復(fù)”工具包。

當(dāng)用戶訪問一個(gè)惡意網(wǎng)站時(shí)，就可能觸發(fā)當(dāng)前這個(gè)漏洞，如果黑客成功入侵這個(gè)漏洞，那么他就可以在受攻擊的主機(jī)上遠(yuǎn)程執(zhí)行任何代碼，以及獲得與當(dāng)前用戶相同的訪問權(quán)限。用戶交互會(huì)加劇這個(gè)漏洞的嚴(yán)重性——通用漏洞評(píng)分系統(tǒng)將這個(gè)漏洞評(píng)定為6.8分。

ZDI報(bào)告指出：“然而，在所有情況中，攻擊者可能并沒有辦法迫使用戶查看攻擊者所控制的內(nèi)容。相反，攻擊者可能不得不用一些手段說服用戶自己主動(dòng)去操作。通常就是誘導(dǎo)用戶去點(diǎn)擊郵件內(nèi)容或即時(shí)消息中的一個(gè)超鏈接，從而讓用戶訪問攻擊者的網(wǎng)站，或者誘導(dǎo)用戶打開電子郵件的附件。”

ZDI指出，他們第一次是在2013年10月份向微軟報(bào)告了IE零日(CVE-2014-1770)漏洞，當(dāng)時(shí)是比利時(shí)安全研究員Peter Van Eeckhoutte發(fā)現(xiàn)了這個(gè)漏洞，隨后微軟在2014年2月確認(rèn)了這個(gè)問題。ZDI通常給供應(yīng)商預(yù)留180天的漏洞處理時(shí)間，之后他們才會(huì)向公眾公開漏洞，這表示微軟在4月份之前都有時(shí)間修復(fù)這個(gè)漏洞。

在這個(gè)事件中，微軟實(shí)際上有另一個(gè)機(jī)會(huì)在5月初解決這個(gè)問題，但是它同樣沒有重視ZDI關(guān)于公開這個(gè)漏洞的警告。近幾個(gè)月來，微軟的安全團(tuán)隊(duì)一直在全力奮戰(zhàn)——他們被迫在本月初發(fā)布了一個(gè)用于修復(fù)另一個(gè)IE零日漏洞的編外補(bǔ)丁，其中還特別包含了一個(gè)針對(duì)目前已經(jīng)不提供支持的XP操作系統(tǒng)的修復(fù)包。

ZDI報(bào)告提供了一些處理IE零日漏洞的技術(shù)方法，其中包括將IE安全域設(shè)置為“高”，或者配置瀏覽器為運(yùn)行Active Scripting之前彈出提示。或許，解決這個(gè)問題的最簡(jiǎn)單方法是安裝和運(yùn)行微軟的增強(qiáng)減災(zāi)體驗(yàn)工具套件(Enhanced Mitigation Experience Toolkit)，微軟自己也非常希望在補(bǔ)丁發(fā)布之前就找到處理零日漏洞的方法。