Internet Explorer远程代码执行漏洞及缓解措施详解

本文详细介绍了Microsoft安全公告2963983中Internet Explorer远程代码执行漏洞的多种缓解措施,包括扩展保护模式启用、EMET工具配置和VML禁用等技术方案,帮助用户在安全更新发布前有效防护系统安全。

[缓解措施总结] 安全公告 2963983 – Internet Explorer 漏洞导致远程代码执行

2014/5/2 更新:针对此 Internet Explorer 漏洞的安全更新已通过安全公告 MS14-021 发布。详情请参阅相关文章。

本博客针对安全公告 2963983「Internet Explorer 的漏洞导致远程代码执行」中描述的漏洞,按用户类型推荐缓解措施。本文提供了易于根据用户环境设置的缓解措施,但实施其他或所有缓解措施也没有问题。

■ 缓解措施

在安全更新发布之前,请实施以下缓解措施以保护您的环境。

个人用户

※首先,确认您使用的 Windows 版本的方法请参考[此处],确认您的 Windows 是 32 位还是 64 位的方法请参考「如何确认电脑是 32 位版还是 64 位版」。

Windows Vista 用户: 请实施 VML 禁用。

使用 32 位 (x86) 版 Windows 7 及更高操作系统的用户: 请实施 VML 禁用。

使用 64 位 (x64) 版 Windows 7 及更高操作系统的用户

  • 通过使用 Internet Explorer 10 及以上版本并启用扩展保护模式,确认可防止当前已知的恶意利用。如有可能,请使用 Internet Explorer 10 及以上版本并启用扩展保护模式。
  • 继续使用 Internet Explorer 8 或 Internet Explorer 9 的用户,请实施 VML 禁用。

使用 64 位版 Windows 8/8.1 的用户,若使用新 UI(Windows 商店应用)的 Internet Explorer 10 和 Internet Explorer 11: 确认通过扩展保护模式同等功能可避免攻击。使用桌面版 Internet Explorer 10/11 时,请启用扩展保护模式。

Windows RT/RT 8.1 用户: 使用新 UI(Windows 商店应用)的 Internet Explorer 10 和 Internet Explorer 11 时,确认通过扩展保护模式同等功能可避免攻击。使用桌面版 Internet Explorer 10/11 时,请启用扩展保护模式。

企业用户

Windows Vista / Windows Server 2003 / Windows Server 2008 用户: 实施 EMET 导入是最有效的对策。如果已经验证或过去曾导入过,请考虑通过 EMET 导入进行规避。 如果 EMET 导入困难,请实施 VML 禁用。

使用 32 位版 Windows 7 及更高操作系统的用户: 请实施上述「Windows Vista / Windows Server 2003 / Windows Server 2008 用户」中记载的缓解措施。

使用 64 位版 Windows 7 / Windows Server 2008 R2 及更高操作系统的用户

  • 通过使用 Internet Explorer 10 及以上版本并启用扩展保护模式,确认可防止当前已知的恶意利用。如有可能,请使用 Internet Explorer 10 及以上版本并启用扩展保护模式。
  • 继续使用 Internet Explorer 8 或 9 的用户,请实施上述「Windows Vista / Windows Server 2003 / Windows Server 2008 用户」中记载的缓解措施。

使用 64 位版 Windows 8/8.1 的用户,若使用新 UI 的 Internet Explorer 10 和 Internet Explorer 11: 确认通过扩展保护模式同等功能可避免攻击。使用桌面版 Internet Explorer 10/11 时,请启用扩展保护模式。

Windows RT/RT 8.1 用户: 使用新 UI(Windows 商店应用)的 Internet Explorer 10 和 Internet Explorer 11 时,确认通过扩展保护模式同等功能可避免攻击。使用桌面版 Internet Explorer 10/11 时,请启用扩展保护模式。

缓解措施:启用扩展保护模式

在 Windows RT/Windows RT 8.1 以及 64 位版 Windows 7 / Windows Server 2008 R2 及更高操作系统上的 Internet Explorer 10 和 Internet Explorer 11 中,启用扩展保护模式可以防止当前已知的攻击。

设置方法

  1. 启动 Internet Explorer,从[工具]按钮(齿轮标记)选择[Internet 选项]。
  2. 点击[高级]选项卡,滚动至[设置]的[安全]部分。
  3. Internet Explorer 10 的情况下,勾选[启用扩展保护模式]。
  4. Internet Explorer 11 的情况下,勾选[启用扩展保护模式]以及[在扩展保护模式下启用 64 位处理器](Windows 8 及更高 x64 系统的情况)。
  5. 点击[OK]关闭[Internet 选项]。
  6. 重新启动系统。

缓解措施:导入 EMET

Enhanced Mitigation Experience Toolkit (EMET) 是微软免费提供的安全漏洞缓解工具。通过以下配置,确认可防止当前已知的恶意利用。

  • EMET 4.0:所有缓解措施,以及 deephooks/antidetour 启用
  • EMET 4.1:所有缓解措施,以及 deephooks/antidetour 启用
  • EMET 5.0 Technical Preview:包括 ASR 和 EAF+ 的所有缓解措施,以及 deephooks/antidetour 启用

注意:EMET 3 作为缓解措施无效。 注意:导入 EMET 时,请充分进行验证。EMET 可以强化 Windows 本身,防止漏洞的恶意利用,但可能与部分程序(特别是旧程序)产生兼容性问题。请参考与工具一同下载的用户指南等,充分进行验证。另外,EMET 不仅对本次漏洞,对过去的漏洞和未来的新漏洞也预期有效,如尚未导入,请考虑今后的导入。

补充:关于 EMET 缓解措施的设置 在公告的缓解措施中,显示通过 EMET 的默认配置可以缓解攻击。 对此,博客中建议在默认配置基础上启用 Deep Hook。 这是因为通过默认设置中启用的 Heapspray 缓解措施可以最低限度地缓解攻击。 但是,启用 Deep Hook 后有效的缓解措施更为强固,也有缓解绕过 Heapspray 缓解措施的攻击的效果。 因此,为了具备更强固的缓解措施,博客中推荐启用默认未启用的 Deep Hook 设置。

设置方法 EMET 可以从 Enhanced Mitigation Experience Toolkit (EMET) 下载。下载后,请按照用户指南进行设置。 *EMET 4.0 不支持 Windows 8.1 和 Windows Server 2012 R2。EMET 4.1/5.0 支持当前所有支持的 OS。

参考信息 关于 EMET,我们的团队博客也有讲解。尚未了解的用户,请务必确认。

  • 安全 TechCenter「Enhanced Mitigation Experience Toolkit」
  • 日本安全团队博客「发布 EMET 4.1~强化配置文件和管理功能」「发布了 EMET 5.0 Technical Preview」

缓解措施:禁用 Vector Markup Language (VML)

通过禁用用于矢量图像绘制的 VML,确认可防止当前已知的恶意利用。另外,启用本缓解措施后,预计会影响使用 VML 的应用程序和网站无法显示等,但 VML 在 Web 上不是常见技术,普通网站使用较少,且 Internet Explorer 9 及更高版本搭载了显示类似矢量图形的 Web 标准技术 SVG,因此禁用后的直接影响较小。

VML 禁用步骤

Windows Vista、Windows 7 的情况

  1. 点击[开始按钮] - [所有程序]。
  2. 点击[附件]。
  3. 右键点击[命令提示符],点击「以管理员身份运行」。
  4. 复制要输入的命令。
    • 32 位版 Windows 的情况: "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
    • 64 位版 Windows 的情况: "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"
  5. 点击[管理员: 命令提示符]对话框的左角,点击[编辑] -[粘贴]。
  6. 点击 Enter 键。
  7. 显示对话框,显示禁用成功,点击[OK]关闭对话框。
  8. 点击[管理员: 命令提示符]的右角的[X],关闭对话框。
  9. 重新启动 Internet Explorer 以使设置生效。

Windows 8、Windows 8.1 的情况

  1. 按 Windows + X 键,点击[命令提示符(管理员)]。
  2. 复制要输入的命令。
    • 32 位版 Windows 的情况: "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
    • 64 位版 Windows 的情况: "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"
  3. 点击[管理员: 命令提示符]对话框的左角,点击[编辑] -[粘贴]。
  4. 显示对话框,显示禁用成功,点击[OK]关闭对话框。
  5. 按 Enter 键。显示对话框,显示禁用成功,点击[OK]关闭对话框。
  6. 点击[管理员: 命令提示符]的右角的[X],关闭对话框。
  7. 重新启动 Internet Explorer 以使设置生效。

VML 启用步骤 如需重新启用 VML,请执行以下步骤:

  1. 以管理员权限打开命令提示符。
  2. 输入以下内容:
    • 32 位版 Windows 的情况: "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
    • 64 位版 Windows 的情况: "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"
  3. 显示对话框,显示注册成功,点击[OK]关闭对话框。
  4. 重新启动 Internet Explorer 以使设置生效。

■ 相关链接

日本安全团队的博客 安全公告 2963983「Internet Explorer 的漏洞导致远程代码执行」 [FAQ 总结] 安全公告 2963983 – Internet Explorer 的漏洞导致远程代码执行 Microsoft Security Response Center (MSRC) 官方博客 Microsoft releases Security Advisory 2963983 (英文信息) Security Research and Defense 官方博客 More Details about Security Advisory 2963983 IE 0day (英文信息)

■ 更新履历

2014/4/30 20:15:在企业用户的缓解措施中,添加了服务器 OS 的记载。 2014/5/1 14:35:添加了缓解措施总结表。添加了「Windows RT/RT 8.1 用户的情况」。在 VML 禁用步骤中添加了图像,使其更明确。步骤无变更。在 EMET 的缓解措施中添加了补充。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次