微软最新IE0day漏洞的详细分析报告和临时解决方法
Microsoft IE
畸形对象操作内存破坏漏洞 发布日期:2010-03-10
CVE ID
:CVE-2010-0806
受影响的软件及系统:====================
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
未受影响的软件及系统:======================
Microsoft Internet Explorer 5.01 SP4
Microsoft Internet Explorer 8.0
综述:======
Microsoft IE
是微软Windows
操作系统自带的浏览器软件。 IE
在处理非法的对象操作时存在内存破坏漏洞,远程攻击者可能利用此漏洞通过诱使用户访问恶意网页在用户系统上执行指令,从而完全控制用户系统。 此漏洞是一个0day
漏洞,目前已经报告有利用此漏洞的攻击出现,微软已经得知了此漏洞的存在并开始研究处理,但还未提供针对此漏洞安全补丁。 分析:======
该漏洞是IE
浏览器在处理特定类型和序列的对象操作过程中出现的问题。 如果在派生出来的对象中初始化特定操作,并在之后的操作中修改删除源对象,就会触发一个虚函数指针调用操作。因为对象被删除后,原来虚函数指针对应的内存可能存放其它数据,所以此时会将不确定的内存数据作为指针进行执行。通过精心构造内存中的数据结合Heap Spray
等技术有可能利用此漏洞执行任意指令。 此漏洞已被利用来执行一些有针对性的攻击,并随着技术细节的扩散有可能被用来大规模进行挂马攻击。 解决方法:==========
Windows
用户可以采用下面几种临时解决方案来减少漏洞威胁: *
修改系统对iepeers.dll
文件的访问权限。对32
位系统,执行如下命令:Echo y| cacls %WINDIR%\SYSTEM32\iepeers.DLL /E /P everyone:N
对64
位系统,执行如下命令:Echo y| cacls %WINDIR%\SYSWOW64\iepeers.DLL /E/P everyone:N
调整访问权限以后,打印和Web
文件夹之类的扩展功能可能受到影响。 *
将Internet Explorer
配置为在Internet
和本地Intranet
安全区域中运行ActiveX
控件和活动脚本之前进行提示。 *
将Internet
和本地Intranet
安全区域设置设为“高”,以便在这些区域中运行ActiveX
控件和活动脚本之前进行提示。 *
对Internet Explorer 6SP2
或Internet Explorer 7
启用DEP
。 方法1:下载安装微软提供的开启DEP
补丁:http://go.microsoft.com/?linkid=9668626 方法2:手工开启全局DEP
:对于Windows XP
用户,如果之前没有手工调整过DEP
策略,请点击开始菜单的“运行”,输入“sysdm.cpl
”,点击“确定”。点击“高级”分页,然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页,选择“除所选之外,为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。 微软官方地址:http://www.microsoft.com/china/technet/security/advisory/981374.mspx用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 GTB6
