标题：Microsoft IE CSS标签解析远程代码执行0day漏洞
出处：大漠荒颜
时间：Tue, 07 Dec 2010 23:26:27 +0000
作者：北纬36度
地址：http://www.736202.com/read.php/517.htm

内容：
Microsoft IE CSS标签解析远程代码执行0day漏洞
受影响的软件及系统：
====================
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8

综述：
======
IE在处理网页中的特定样式标签时存在漏洞，远程攻击者可以利用此漏洞通过诱使用户访问恶意网页在用户系统上执行任意指令，从而完全控制受影响的系统。此漏洞可方便地被用于执行挂马攻击，已证实影响IE 6/7/8，影响面和威胁程度都很高，需要引起用户重视。

此漏洞是一个0day漏洞，相关的技术细节已经公开，微软已经得知了此漏洞的存在并开始研究处理，但还未提供针对此漏洞安全补丁，强烈建议参照临时解决方案进行处理以免受此漏洞的影响。


分析：
======
IE处理特定组合的网页样式标签定义时存在内存破坏漏洞，漏洞的触发导致修改内存中会被调用的虚表指针，通过精心构造内存中的数据结合Heap Spray等技术有可能利用此漏洞执行任意指令。

此漏洞已被利用来执行一些有针对性的攻击，随着技术细节的进一步公开，有可能被用来大规模进行挂马攻击。

绿盟科技的IPS产品已经加入了针对利用此漏洞进行攻击的检测和阻断，建议客户立即升级规则阻断可能的攻击。


解决方法：
==========
在安装漏洞相应的补丁之前，Windows用户可以采用以下的临时解决方案来免受漏洞的影响，这些措施虽然不能阻止漏洞的触发，但是可以极大程度上阻止漏洞的利用：

* 使用微软提供的增强缓解体验工具包（EMET）。

  增强缓解体验工具包（EMET）是一个实用工具，用于防止软件中的漏洞被成功利用。

  从如下网址下载增强缓解体验工具包：
  http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409
  
  安装以后运行，在界面中点击“Configure Apps”，在对话框中点击“Add”，浏览到IE所在的安装目录（通常是c:\program files\Internet Explorer\）选择iexplore.exe，点击“打开”，IE就被加入到受保护项目列表中，点击“OK”，如果有IE正在运行的话需要重启一下应用。

* 开启IE浏览器的DEP（数据执行保护）功能。

  IE 8已经默认开启了DEP功能。对于IE 6 SP2或IE 7启用DEP，可以采用如下方法开启：

  方法1：下载安装微软提供的开启DEP补丁
  http://download.microsoft.com/download/C/A/D/CAD9DFDF-AF35-4712-B876-B2EEA708495C/MicrosoftFixit50285.msi

  方法2：手工开启全局DEP
  对于Windows XP用户，如果之前没有手工调整过DEP策略，请点击开始菜单的“运行”，输入“sysdm.cpl”，点击“确定”。程序运行以后，点击“高级”分页，然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页，选择“除所选之外，为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。

测试代码
点击这里下载文件


Generated by Bo-blog 2.1.1 Release