2011新年元旦剛過,去年圣誕節前曝出的IE CSS“圣誕”漏洞就遭到了黑客的攻擊。據360、瑞星、卡巴斯基、賽門鐵克等多家國內外安全廠商公告:該漏洞可被黑客利用掛馬,影響主流版本的IE瀏覽器,其中包括安全性較高的IE8。據悉,國內互聯網上已經出現上百個利用該漏洞掛馬的惡意網頁,其中多數為在線小游戲網站,為此360安全衛士緊急發布了臨時補丁。
據悉,IE CSS“圣誕”漏洞有兩大特點。第一,該漏洞的攻擊代碼運用了一種新型的攻擊方式(.net庫中沒有經過ASLR隨機地址的一個庫文件),能夠繞過大多數安全軟件的網頁防護功能;第二,該漏洞可以使IE8瀏覽器被掛馬網頁直接攻擊。而在此前,掛馬網頁威脅的通常只是IE6和IE7瀏覽器的用戶。
一些黑客論壇上,IE“圣誕”漏洞被普遍視為“新年紅包”,相應的“網頁木馬生成器”也被明碼標價售賣。根據360安全中心監測的信息,在過去兩周時間內,針對該漏洞掛馬的惡意網頁數量與日俱增。尤其是在元旦期間,黑客開始在一些人氣較高的游戲網站、小說網站、音樂網站上掛馬,漏洞危害正在急劇放大。
對此,360安全專家石曉虹博士認為:“隨著‘網頁木馬生成器’被黑客用于批量掛馬,IE‘圣誕’漏洞攻擊將進一步擴散,嚴重程度可能超過導致谷歌被黑客入侵的IE‘極光’漏洞。360安全衛士因此緊急發布了臨時補丁,在微軟官方修復漏洞前可以免疫目前黑客利用這個漏洞進行的攻擊。”
根據360安全中心介紹,360臨時補丁無需用戶手工下載,即可通過自動升級的方式更新該補丁,從而獲得對IE“圣誕”漏洞攻擊的免疫能力,并完全和微軟官方補丁兼容。此前,360曾多次針對微軟和第三方軟件的高危漏洞提供臨時補丁,包括IE XML漏洞、Mpeg-2視頻漏洞、綠壩遠程代碼執行漏洞等。
石曉虹博士表示:“安全漏洞相當于一間屋子破了洞,可以被小偷鉆進來。在徹底修好屋子前,最好的安全措施是盯緊這個洞,不讓任何壞人出入,360安全衛士的臨時補丁就能起到這個作用。”截至發稿前,微軟尚未透露何時提供官方補丁修復IE“圣誕”漏洞。
進入論壇>>推薦閱讀
在劉振宇面前,選擇很多,比如騰訊QQ的付費業務,也比如目前互聯網公司樂于投入的網游業務,但MSN中國卻一直專注在互聯網廣告上面,未來五六年時間里面,展示類的廣告將是這家公司的核心收入支柱。 2011年1月13日,盡>>>詳細閱讀
本文標題:IE“圣誕”漏洞大規模爆發 360緊急發布臨時補丁
地址:http://m.sdlzkt.com/a/01/20111231/225942.html
網友點評
精彩導讀
科技快報
品牌展示