2011新年元旦剛過，去年圣誕節前曝出的IE CSS“圣誕”漏洞就遭到了黑客的攻擊。據360、瑞星、卡巴斯基、賽門鐵克等多家國內外安全廠商公告：該漏洞可被黑客利用掛馬，影響主流版本的IE瀏覽器，其中包括安全性較高的IE8。據悉，國內互聯網上已經出現上百個利用該漏洞掛馬的惡意網頁，其中多數為在線小游戲網站，為此360安全衛士緊急發布了臨時補丁。

據悉，IE CSS“圣誕”漏洞有兩大特點。第一，該漏洞的攻擊代碼運用了一種新型的攻擊方式（.net庫中沒有經過ASLR隨機地址的一個庫文件），能夠繞過大多數安全軟件的網頁防護功能；第二，該漏洞可以使IE8瀏覽器被掛馬網頁直接攻擊。而在此前，掛馬網頁威脅的通常只是IE6和IE7瀏覽器的用戶。

一些黑客論壇上，IE“圣誕”漏洞被普遍視為“新年紅包”，相應的“網頁木馬生成器”也被明碼標價售賣。根據360安全中心監測的信息，在過去兩周時間內，針對該漏洞掛馬的惡意網頁數量與日俱增。尤其是在元旦期間，黑客開始在一些人氣較高的游戲網站、小說網站、音樂網站上掛馬，漏洞危害正在急劇放大。

對此，360安全專家石曉虹博士認為：“隨著‘網頁木馬生成器’被黑客用于批量掛馬，IE‘圣誕’漏洞攻擊將進一步擴散，嚴重程度可能超過導致谷歌被黑客入侵的IE‘極光’漏洞。360安全衛士因此緊急發布了臨時補丁，在微軟官方修復漏洞前可以免疫目前黑客利用這個漏洞進行的攻擊。”

圖：360網盾攔截IE“圣誕”漏洞掛馬攻擊

根據360安全中心介紹，360臨時補丁無需用戶手工下載，即可通過自動升級的方式更新該補丁，從而獲得對IE“圣誕”漏洞攻擊的免疫能力，并完全和微軟官方補丁兼容。此前，360曾多次針對微軟和第三方軟件的高危漏洞提供臨時補丁，包括IE XML漏洞、Mpeg-2視頻漏洞、綠壩遠程代碼執行漏洞等。

石曉虹博士表示：“安全漏洞相當于一間屋子破了洞，可以被小偷鉆進來。在徹底修好屋子前，最好的安全措施是盯緊這個洞，不讓任何壞人出入，360安全衛士的臨時補丁就能起到這個作用。”截至發稿前，微軟尚未透露何時提供官方補丁修復IE“圣誕”漏洞。

　　推薦閱讀

　　鮑爾默演講：Xbox Live用戶已經達到3500萬

鮑爾默宣布，XboxLive用戶已經達到3500萬。過去6個月，Xbox360一直都是美國銷量最大的游戲機，微軟在全球已經售出約5000萬套的Xbox360。微軟已經售出超過800萬套的Kinect，大大超出此前預測的500萬套，推出時間僅兩個>>>詳細閱讀

本文標題：IE“圣誕”漏洞爆發 在線游戲網站成木馬重災區

地址：http://m.sdlzkt.com/a/xie/20111230/189713.html

 1/2    1  2 下一頁