Internet Explorer远程代码执行漏洞深度解析与防范指南

本文详细解析了Internet Explorer中存在的远程代码执行漏洞(CVE-2014-1776),涵盖漏洞原理、攻击方式、潜在危害及多种有效缓解措施,包括EMET工具、增强保护模式和VML禁用等企业级防护方案。

[FAQ 汇总] 安全公告 2963983 – Internet Explorer 漏洞导致远程代码执行

2014/5/2 更新:针对此Internet Explorer漏洞的安全更新已作为安全公告MS14-021发布。详情请参阅相关文章。

由于客户对此漏洞存在诸多疑问和担忧,我们根据目前已知事实,以问答形式回应客户关切。缓解措施已汇总于《缓解措施汇总》安全公告 2963983 – Internet Explorer 漏洞导致远程代码执行。文末还附有“缓解措施详解”。在安全更新发布前,请实施所述缓解措施以保护您的环境。

Q. 听说只要启动Internet Explorer就会受到攻击,是真的吗?
A. 不是。与计算机蠕虫等不同,仅打开Internet Explorer不会受到攻击。只有在使用Internet Explorer访问攻击者特制网站时,漏洞才可能被利用。通过采取适当措施,可以预防损害。

Q. 本次涉及的是哪种漏洞?
A. 这是一个远程代码执行漏洞。漏洞存在于Internet Explorer访问已删除或未正确分配内存中的对象的方式。该漏洞可能导致内存损坏,使攻击者能够在当前用户上下文中执行任意代码。

Q. 什么是漏洞?
A. 漏洞是软件中的安全缺陷。恶意软件(如病毒)利用这些漏洞侵入系统,实施盗窃密码、信用卡信息等犯罪。

Q. 攻击是如何进行的?
A. 攻击者托管特制网站,诱使用户(例如通过伪装邮件)使用Internet Explorer访问该网站。用户使用受影响版本的Internet Explorer浏览特制网站时,可能发生远程代码执行。恶意代码在Internet Explorer中运行后,可能导致浏览器异常终止或计算机感染恶意软件。

“图解安全信息”中提供了常见“远程代码执行”漏洞攻击模式的图示说明,供参考。

Q. 遭受攻击会导致什么后果?
A. 漏洞被利用后,攻击者可能获得与当前用户相同的权限。如果用户以管理员权限登录,受影响计算机可能被完全控制,导致信息窃取、任意程序安装、数据查看、修改、删除等多种危害。

Q. 不访问“特制网站”就安全吗?
A. 是的。但特制网站可能看似安全,或正规网站被篡改。仅凭外观难以判别,用户可能未察觉已访问危险网站。因此,请参阅《缓解措施汇总》,根据您的版本实施缓解措施,确保即使意外访问特制网站也不会被利用。

Q. 普通用户也面临风险吗?
A. 微软目前仅确认针对Internet Explorer 9、10、11的有限定向攻击。但相同漏洞存在于Internet Explorer 6、7、8、9、10、11所有版本。请使用Internet Explorer的客户实施适当缓解措施以防利用。

Q. 什么是定向攻击?
A. 定向攻击是使用恶意软件等进行的网络攻击,针对特定企业或组织,通常旨在窃取企业或组织的机密信息。

Q. 本事件的最新信息在哪里发布?
A. 日本安全团队博客将持续提供和更新信息。

Q. 安全更新何时发布?
A. 目前正在处理中,调查完成后,微软将采取适当措施保护客户,包括月度安全更新或额外安全更新发布。在此期间,请应用博客和公告中所述的缓解措施以防止利用。

Q. 微软的恶意软件防护产品能检测利用此漏洞的恶意软件吗?
A. 确认利用此漏洞的恶意软件后,我们会定期更新定义文件。但定义文件仅用于检测和清除利用漏洞的恶意软件。作为漏洞应对,请在实施缓解措施的同时更新定义文件,预防已知恶意软件。

Q. 我使用Surface 2 / Surface RT,没有其他浏览器选择。继续使用Internet Explorer安全吗?
A. 如果正确实施了缓解措施,可以防止漏洞利用,因此继续使用Internet Explorer是安全的。请参考此处启用增强保护模式。

Q. 我使用Windows XP。该怎么办?
A. Windows XP已于2014/4/9终止支持。为获得适当支持,请尽快考虑迁移至受支持的新版本Windows。

Q. 应该实施哪些缓解措施?
A. 此博客列出了适合您环境且易于设置的缓解措施,请查阅。此外,实施表中未列出的或所有缓解措施均无问题。

缓解措施详解

以下简要解释针对此漏洞在公告和《缓解措施汇总》中介绍的缓解措施:

  • 使攻击失效的对策(EMET)
    安全更新的提供相当于堵塞建筑物入侵路径。由于涉及结构变更,完成对策(施工)需要时间。相比之下,EMET像警报装置一样工作。当EMET检测到攻击时,通过关闭所有通道(停止程序)来防止攻击。EMET通过这种方式不仅能防止此漏洞,还能广泛防御各种攻击。

  • 将Internet Explorer与系统隔离(增强保护模式)
    进行攻击需要劫持目标程序(Internet Explorer)并深入计算机内部。以建筑物入侵为例,入侵者首先进入可入侵的房间,从内部打开房门,试图移动到更有价值的地方。
    此漏洞中,Internet Explorer相当于试图利用的房间。Internet Explorer的增强保护模式是一种技术,使房门无法从内部打开,即使房间被入侵,也能通过阻止离开房间来防止攻击。

  • 堵塞攻击入口(禁用VML)
    要利用此漏洞,首先需利用作为Internet Explorer一部分运行的程序,并找到Internet Explorer的特定信息。以建筑物为例,相当于获取可用于入侵的路径图纸,并用该图纸进入Internet Explorer房间。因此,消除攻击入口信息即可防止攻击。禁用VML相当于消除攻击Internet Explorer所需的信息(图纸)。没有攻击入口,攻击就无法进行。

相关信息

《缓解措施汇总》安全公告 2963983 – Internet Explorer 漏洞导致远程代码执行

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次