Microsoft IE畸形CSS规则导入远程代码执行漏洞发布日期:2010-12-24
CVE ID:CVE-2010-3971
受影响的软件及系统:
====================
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
综述:
======
IE在处理网页CSS文件的引用时存在漏洞,远程攻击者可以利用此漏洞通过诱使用户访问恶意网页在用户系统上执行任意指令,从而完全控制受影响的系统。此漏洞可被用于执行挂马攻击,已证实影响IE 6/7/8,影响面和威胁程度都很高,需要引起用户重视。
此漏洞是一个0day漏洞,相关的技术细节已经公开,微软已经得知了此漏洞的存在并开始研究处理,但还未提供针对此漏洞安全补丁,强烈建议参照临时解决方案进行处理以免受此漏洞的影响。
分析:
======
IE处理CSS(层叠样式表)文件中畸形的引用CSS文件自身的命令时存在内存破坏漏洞,漏洞的触发导致内存块释放后重使用的情况,通过精心构造内存中的数据结合Heap Spray等技术有可能利用此漏洞执行任意指令。
此漏洞最初作为一个拒绝服务类的问题被公布出来,但是经过研究证实可以用来执行任意指令,目前已经有了可以稳定利用的攻击工具,很有可能被用来大规模进行挂马攻击。
绿盟科技的IPS产品已经加入了针对利用此漏洞进行攻击的检测和阻断,建议客户立即升级规则阻断可能的攻击。
解决方法:
==========
在安装漏洞相应的补丁之前,Windows用户可以采用以下的临时解决方案来免受漏洞的影响:
* 暂时使用其他非IE内核的浏览器,比如Chrome、Firefox、Opera 。
* 使用微软提供的增强缓解体验工具包(EMET)。虽然不能阻止漏洞的触发,但是可以很大程度上阻止漏洞的利用。
增强缓解体验工具包(EMET)是一个实用工具,用于防止软件中的漏洞被成功利用。
从如下网址下载增强缓解体验工具包:
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409 安装以后运行,在界面中点击“Configure Apps”,在对话框中点击“Add”,浏览到IE所在的安装目录(通常是c:\program files\Internet Explorer\)选择iexplore.exe,点击“打开”,IE就被加入到受保护项目列表中,点击“OK”,如果有IE正在运行的话需要重启一下应用。
厂商状态:
==========
微软已经得到了漏洞相关的信息正在处理,但还没有发布安全补丁,我们建议在安装官方补丁之前应用本通告的临时解决方案以降低漏洞的威胁:
http://www.microsoft.com/technet/security/advisory/2488013.mspx附加信息:
==========
http://www.wooyun.org/bugs/wooyun-2010-0885http://www.nsfocus.net/vulndb/16127http://www.breakingpointsystems.com/community/blog/ie-vulnerability/http://www.exploit-db.com/exploits/15746/http://www.microsoft.com/technet/security/advisory/2488013.mspxhttps://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb声 明
==========
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
============
绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见:
http://www.nsfocus.com© 2011 绿盟科技
