深入解析IE 0day漏洞:安全公告2963983的技术细节与缓解措施

本文详细分析了Internet Explorer中的use-after-free内存损坏漏洞,涉及IE9至IE11版本,并提供了通过EMET配置、禁用VML及启用增强保护模式等多种技术缓解措施。

更多关于安全公告2963983 IE 0day的细节

今天我们发布了安全公告2963983,涉及FireEye报告并正在调查中的Internet Explorer潜在漏洞。我们正与FireEye紧密合作,调查这一在有限定向攻击中使用的漏洞报告:

  • 该漏洞是一个“释放后使用”内存损坏问题,观察到的漏洞利用似乎针对IE9、IE10和IE11;
  • 虽然漏洞影响Internet Explorer,但漏洞利用深度依赖另外两个组件来成功触发代码执行,特别是需要存在VML和Flash组件;

我们的合作伙伴FireEye发布了一份包含一些细节的分析,并确认当为Internet Explorer添加EMET保护时,漏洞利用无法成功运行。以下EMET配置有助于缓解在野外观察到的此特定漏洞利用:

  • EMET 4.0 / 4.1:启用所有缓解措施,启用deephooks/antidetour
  • EMET 5.0TP:启用所有缓解措施(包括ASR/EAF+),启用deephooks/antidetour

此外,根据FireEye共享的当前细节,我们认为漏洞利用也可以通过以下方式缓解:

  • 在IE中禁用VML。
  • 在“增强保护模式”配置和64位进程模式下运行Internet Explorer,这在IE10和IE11的Internet选项设置中可用:

Cristian Craioveanu, Elia Florio and Chengyun Chu, MSRC Engineering

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次