|
|
51CTO旗下网站
|
|
开户注册送38体验金端

微软无法在限定时间内解决IE的零日漏洞

微软无法在研究人员给定的合理时间里解决最初在2013年10月发现的IE浏览器零日漏洞,因此这个漏洞现在已经正式公开。

作者:Brandan Blevins 翻译:曾少宁来源:TechTarget中国|2014-06-24 14:44

微软无法在研究人员给定的合理时间里解决最初在2013年10月发现的IE浏览器零日漏洞,因此这个漏洞现在已经正式公开。

微软无法在限定时间内解决IE的零日漏洞

惠普零日项目(Zero-Day Initiative, ZDI)是一个在Pwn2Own黑客竞技研究团队。根据他们所发布的一份报告,IE零日漏洞只影响到微软IE 8。当浏览器处理CMarkup对象时,这个漏洞就会暴露无遗。

虽然这个漏洞只影响到IE 8,但是今年2月份在同一个库中又出现另一个问题,电子游艺免费申请彩金者可以利用这个漏洞获得IE 10的本地访问权限。对于这个漏洞,微软在公开宣布这个漏洞之前就发布了一个“修复”工具包。

当用户访问一个恶意网站时,就可能触发当前这个漏洞,如果黑客成功入侵这个漏洞,那么他就可以在受电子游艺免费申请彩金的主机上远程执行任何代码,以及获得与当前用户相同的访问权限。用户交互会加剧这个漏洞的严重性——通用漏洞评分系统将这个漏洞评定为6.8分。

ZDI报告指出:“然而,在所有情况中,电子游艺免费申请彩金者可能并没有办法迫使用户查看电子游艺免费申请彩金者所控制的内容。相反,电子游艺免费申请彩金者可能不得不用一些手段说服用户自己主动去操作。通常就是诱导用户去点击邮件内容或即时消息中的一个超链接,从而让用户访问电子游艺免费申请彩金者的网站,或者诱导用户打开电子邮件的附件。”

ZDI指出,他们第一次是在2013年10月份向微软报告了IE零日(CVE-2014-1770)漏洞,当时是比利时安全研究员Peter Van Eeckhoutte发现了这个漏洞,随后微软在2014年2月确认了这个问题。ZDI通常给供应商预留180天的漏洞处理时间,之后他们才会向公众公开漏洞,这表示微软在4月份之前都有时间修复这个漏洞。

在这个事件中,微软实际上有另一个机会在5月初解决这个问题,但是它同样没有重视ZDI关于公开这个漏洞的警告。近几个月来,微软的安全团队一直在全力奋战——他们被迫在本月初发布了一个用于修复另一个IE零日漏洞的编外补丁,其中还特别包含了一个针对目前已经不提供支持的XP操作系统的修复包。

ZDI报告提供了一些处理IE零日漏洞的技术方法,其中包括将IE安全域设置为“高”,或者配置浏览器为运行Active Scripting之前弹出提示。或许,解决这个问题的最简单方法是安装和运行微软的增强减灾体验工具套件(Enhanced Mitigation Experience Toolkit),微软自己也非常希望在补丁发布之前就找到处理零日漏洞的方法。

【编辑推荐】

  1. 微软修复SetMouseCapture IE零日漏洞
  2. IE10浏览器惊现新零日漏洞电子游艺免费申请彩金 目标为美国军事部门
  3. IE浏览器曝严重漏洞 微软破例为XP打补丁
【责任编辑:蓝雨泪 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

活学活用 Ubuntu Server

活学活用 Ubuntu Server

实战直通车
共35章 | UbuntuServer

223人订阅学习

Java EE速成指南

Java EE速成指南

掌握Java核心
共30章 | 51CTO王波

85人订阅学习

Mysql DBA修炼之路

Mysql DBA修炼之路

MySQL入门到高阶
共24章 | 51CTO叶老师

479人订阅学习

读 书 +更多

Linux命令、编辑器与Shell编程

本书是目前所能找到的最实用、最全面的Linux指南和参考手册,也是唯一一本提供以下全部内容的书籍: 更好更实用的示例覆盖了实际工作中需...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网