2011新年元旦剛過，去年圣誕節(jié)前曝出的IE CSS“圣誕”漏洞就遭到了黑客的攻擊。據(jù)360、瑞星、卡巴斯基、賽門鐵克等多家國內(nèi)外安全廠商公告：該漏洞可被黑客利用掛馬，影響主流版本的IE瀏覽器，其中包括安全性較高的IE8。據(jù)悉，國內(nèi)互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)上百個利用該漏洞掛馬的惡意網(wǎng)頁，其中多數(shù)為在線小游戲網(wǎng)站。

據(jù)悉，IE CSS“圣誕”漏洞有兩大特點。第一，該漏洞的攻擊代碼運用了一種新型的攻擊方式（.net庫中沒有經(jīng)過ASLR隨機地址的一個庫文件），能夠繞過大多數(shù)安全軟件的網(wǎng)頁防護功能；第二，該漏洞可以使IE8瀏覽器被掛馬網(wǎng)頁直接攻擊。而在此前，掛馬網(wǎng)頁威脅的通常只是IE6和IE7瀏覽器的用戶。

一些黑客論壇上，IE“圣誕”漏洞被普遍視為“新年紅包”，相應的“網(wǎng)頁木馬生成器”也被明碼標價售賣。根據(jù)360安全中心監(jiān)測的信息，在過去兩周時間內(nèi)，針對該漏洞掛馬的惡意網(wǎng)頁數(shù)量與日俱增。尤其是在元旦期間，黑客開始在一些人氣較高的游戲網(wǎng)站、小說網(wǎng)站、音樂網(wǎng)站上掛馬，漏洞危害正在急劇放大。

對此，安全專家石曉虹博士認為：“隨著‘網(wǎng)頁木馬生成器’被黑客用于批量掛馬，IE‘圣誕’漏洞攻擊將進一步擴散，嚴重程度可能超過導致谷歌被黑客入侵的IE‘極光’漏洞。360安全衛(wèi)士因此緊急發(fā)布了臨時補丁，在微軟官方修復漏洞前可以免疫目前黑客利用這個漏洞進行的攻擊。”

 根據(jù)360安全中心介紹，360臨時補丁無需用戶手工下載，即可通過自動升級的方式更新該補丁，從而獲得對IE“圣誕”漏洞攻擊的免疫能力，并完全和微軟官方補丁兼容。此前，360曾多次針對微軟和第三方軟件的高危漏洞提供臨時補丁，包括IE XML漏洞、Mpeg-2視頻漏洞、綠壩遠程代碼執(zhí)行漏洞等。

石曉虹博士表示：“安全漏洞相當于一間屋子破了洞，可以被小偷鉆進來。在徹底修好屋子前，最好的安全措施是盯緊這個洞，不讓任何壞人出入，360安全衛(wèi)士的臨時補丁就能起到這個作用。”截至發(fā)稿前，微軟尚未透露何時提供官方補丁修復IE“圣誕”漏洞。

標簽： 安全 代碼 谷歌 互聯(lián)網(wǎng) 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。