探究IE浏览器升级加速的深层原因
这个公告一共解决了从IE6到IE10存在的八个秘密报告的漏洞和一个公开披露的漏洞,而这些漏洞都是释放后重用漏洞。释放后重用漏洞是近来比较热门的漏洞,通过可触发访问已删除对象的特制网站,远程攻击者可利用此漏洞执行任意代码。
微软在一次公告中就发布了9个释放后重用漏洞,这在微软的安全公告的发布惯例中是罕见的。对比天融信阿尔法实验室对2012年2月到12月微软发布的IE漏洞进行统计,全年微软对IE发布的漏洞数是34个,其中名称中包含有“释放后重(使)用”的漏洞数才18个。可以看出,现在微软在发布IE漏洞,特别是释放后使用漏洞的速度和数量上,都比以往有大幅提高。
由于微软的IE推出时间长,前几年一直占市场统治地位,一些黑客集团对其中的漏洞挖掘很深,手中掌握了不少的 0day 漏洞,这些漏洞的类型大多是释放后重用漏洞,被一些黑客集团在一些APT攻击中大肆利用。如埃尔德伍德(Elderwood)集团,在过去的两年中,从入侵Google 中国的极光行动开始,到去年底用在美国外交关系委员会的漏洞CVE-2012-4792,该集团一共推出了多个涉及IE的释放后重用漏洞。
由于IE存在这种客观的问题,Chrome和Firefox就通过迅速查找和发布释放后重用漏洞的方式来宣传自己的安全性,以此来抢占IE的市场。根据天融信阿尔法实验室从2012年2月到12月的统计, Google Chrome 浏览器一共发布了7个大版本包含了25个小版本,共解决了176个漏洞;Mozilla Firefox浏览器一共发布了7个大版本解决了150个漏洞。甚至一些官方机构如德国政府也发布公告警告国民弃用IE!根据最新Wikimedia对非移动浏览器的统计,目前浏览器使用率占前三位的分别是Chrome(41.91)、IE(23.37)和Firefox(18.71)。从这个数据也可以看出,安全升级速度和浏览器使用率的“正相关”关系
微软现在意识到了IE浏览器的安全性不足是IE市场占有率下降的主要原因,于是开始积极挖掘和发布IE的安全补丁,特别是修补最新发现的释放后重用漏洞。从2013年第一季度开始,微软不断发力,在一到三月的安全通报中,已经发布了涉及IE不同版本的释放后重用漏洞数量已经达到9个。相信微软在2013年一定会在IE的补丁的数量和更新速度上超过前一年,并以行动来减缓IE浏览器使用率下滑的势头。
但是Chrome和Firefox这些浏览器也不会示弱,像这次2013年Pwn2own黑客大赛上利用的针对Chrome和Firefox浏览器0day漏洞,这两个厂家不到24小时就推出漏洞补丁。相信今年这些浏览器之间的漏洞发现和修补的速度一定会超过往年,浏览器的安全性也会大为改善,只有这样,用户的浏览器的安全性才会得到进一步加强。这就是市场竞争给用户带来的安全上的好处。