IE漏洞危机四伏
来源:岁月联盟
时间:2009-11-29
上周五,BugTraq邮递列表首次公开了IE浏览器的漏洞。但原来的示范代码并不可靠,而且这些代码也没有被用来进行实际的安全。
赛门铁克安全响应中心高级研究经理本·戈林鲍姆(Ben Greenbaum)周三在接受采访时表示:“昨晚Metasploit公布的漏洞代码将比最初公布的漏洞代码威胁更大。”
截止周三早晨,赛门铁克还没有发现利用此漏洞代码的网络安全。但安全专家认为,这种类型的代码属于非常受欢迎的被称为自驾游击的黑客技术。受害者被诱骗访问恶意代码网站,然后他们就会通过浏览器漏洞感染病毒。犯罪分子还把这种类型的代码放到被劫持的网站中以传播他们的安全。
这周一,微软公布了关于IE浏览器漏洞的安全公告。该漏洞涉及IE6和IE7,微软最新版的浏览器IE8并不受此漏洞的影响。受影响的IE用户可以通过升级浏览器或禁用JavaScript以避免遭受安全。
为了提升利用此漏洞的效率,Metasploit研究小组还采用了两位知名安全研究人员的安全技术。戈林鲍姆表示:“最初的漏洞代码使用的是堆喷射(heap-spraying)技术。它就像是一支散弹枪,通过大面积的射击范围以提高命中率。”
最新的漏洞代码使用了由Alexander Sotirov和Marc Dowd开发的.net dlll内存技术。“这种漏洞代码比堆喷射技术更为先进。”戈林鲍姆称。