Internet Explorer远程代码执行漏洞分析与缓解措施

微软发布安全公告2963983,详细分析了Internet Explorer中的远程代码执行漏洞,影响IE6至IE11所有版本,提供了EMET配置、VML禁用和增强保护模式等有效缓解方案,帮助用户在补丁发布前防护有限目标攻击。

セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開

日本セキュリティチーム
2014年4月27日
6分钟阅读

2014/5/2 更新:针对此Internet Explorer漏洞的安全更新已作为安全公告MS14-021发布。详情请参阅相关帖子。

今日,微软发布了安全公告2963983“Internet Explorer漏洞可能导致远程代码执行”。该公告描述了Internet Explorer中已确认的漏洞,并提供了保护免受漏洞影响的缓解措施。当用户使用受影响版本的Internet Explorer查看特制网页时,可能发生远程代码执行。攻击者成功利用此漏洞后,可能获得与当前用户相同的用户权限。

目前,仅确认了针对Internet Explorer 9、Internet Explorer 10和Internet Explorer 11的有限目标攻击。建议使用公告中所述产品的客户实施公告中描述的缓解措施。

■ 受影响的环境

  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8
  • Internet Explorer 9
  • Internet Explorer 10
  • Internet Explorer 11

■ 缓解措施

在安全更新发布之前,为保护您的环境,请实施以下一项或多项缓解措施。

缓解措施1:部署EMET
已确认通过以下配置的Enhanced Mitigation Experience Toolkit (EMET)可以防止当前已知的利用:
(4/30 追加) EMET 4.0:启用所有缓解措施及deephooks/antidetour
EMET 4.1:启用所有缓解措施及deephooks/antidetour
EMET 5.0 Technical Preview:启用所有缓解措施(包括ASR和EAF+)及deephooks/antidetour

注意:EMET 3作为缓解措施无效。
关于EMET,我们的团队博客也有相关解释。如果您还不了解,请借此机会考虑部署。

  • 安全TechCenter“Enhanced Mitigation Experience Toolkit”
  • 日本安全团队博客“发布EMET 4.1~配置文件和管理功能的增强”“发布EMET 5.0 Technical Preview”

缓解措施2:禁用Vector Markup Language (VML)
通过禁用用于矢量图像绘制的VML,已确认可以防止当前已知的利用。VML禁用的设置方法,请参考安全公告的缓解措施。请注意,启用此缓解措施后,可能会影响使用VML的应用程序或网站的显示。

缓解措施3:启用增强保护模式
启用增强保护模式可以防止当前已知的利用。
打开Internet选项,勾选“启用增强保护模式”和“在增强保护模式下启用64位处理器”(适用于64位系统)。勾选后需要重启。

其他缓解措施,请参阅安全公告。

■ 参考链接

  • Microsoft Security Response Center (MSRC) 官方博客
    Microsoft releases Security Advisory 2963983 (英文信息)
  • Security Research and Defense 官方博客
    More Details about Security Advisory 2963983 IE 0day (英文信息)
  • [缓解措施总结] 安全公告2963983 – Internet Explorer漏洞可能导致远程代码执行
  • [FAQ总结] 安全公告2963983 – Internet Explorer漏洞可能导致远程代码执行

更新历史
4月30日 在缓解措施中追加了EMET 4.0。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次