金山安全实验室于昨天发布了关于IE7 CSS 0day漏洞的安全新闻。但这样的警报信息被360污蔑为“金山误报微软0day漏洞”,并称金山闹了个大笑话。
以下内容摘自360发布的新闻通稿
相关链接:http://www.cnsoftnews.com/show_news.asp?newsid=16755
11月23日消息 金山所谓的IE7“CSS 0day漏洞”只是IE7软件的稳定性错误,根本不可能被黑客利用挂马,微软官方也没有将此类非系统级错误定义为安全漏洞。360方面指出,金山此举只是为了打压报复360免费杀毒,通过欺骗和恐吓用户的方式推销产品
截图存档
美国著名信息安全公司Symantec于2009年11月21日也对该漏洞进行了详细分析,分析全文如下:
Zero-Day Internet Explorer Exploit Published
A new exploit targeting Internet Explorer was published to the BugTraq mailing list yesterday. Symantec has conducted further tests and confirmed that it affects Internet Explorer versions 6 and 7 as well. The exploit currently exhibits signs of poor reliability, but we expect that a fully-functional reliable exploit will be available in the near future. When this happens, attackers will have the ability to insert the exploit into Web sites, infecting potential visitors. For an attacker to launch a successful attack, they must lure victims to their malicious Web page or a Web site they have compromised. In both cases, the attack requires JavaScript to exploit Internet Explorer.
The exploit targets a vulnerability in the way Internet Explorer uses cascading style sheet (CSS) information. CSS is used in many Web pages to define the presentation of the sites’ content. Symantec currently detects the exploit with the Bloodhound.Exploit.129 antivirus signature and is working on new signatures now. Symantec IPS protection also currently detects this exploit with signatures HTTP Microsoft IE Generic Heap Spray BO and HTTP Malicious Javascript Heap Spray BO. A new IPS signature, HTTP IE Style Heap Spray BO, has also been created for this specific exploit. To minimize the chances of being affected by this issue, Internet Explorer users should ensure their antivirus definitions are up to date, disable JavaScript and only visit Web sites they trust until fixes are available from Microsoft.
谷歌金山词霸的翻译结果:
零日发布的Internet Explorer漏洞
利用一种新的针对Internet Explorer是发布到 Bugtraq邮件列表 昨天。赛门铁克进行进一步试验,并确认其影响Internet Explorer版本6和7以及。该漏洞目前展出的可靠性差的迹象,但我们预计全功能可靠的利用将在不久的将来提供。发生这种情况时,攻击者将有能力利用 插入到网站,感染潜在游客。对于攻击者发动攻击成功,他们必须引诱受害人的恶意网页或网站的他们有损害。在这两种情况下,攻击需要JavaScript利 用IE浏览器。
该漏洞的目标,在IE浏览器使用的漏洞 级联样式表 (CSS)的信息。 CSS被用在许多网页以确定对网站的内容介绍。赛门铁克目前检测与利用 Bloodhound.Exploit.129 防病毒签名,是根据现在新的签名工作。赛门铁克IPS保护也正在检测这种利用与签名 微软IE通用的HTTP堆喷雾公报 和 恶意的JavaScript的HTTP堆喷雾公报。新的IPS签名,IE浏览器风格的HTTP堆喷雾公报,还设立了一个具体的漏洞。为了尽量减少受到的机会这个问题,IE浏览器用户受到影响,应确保他们的杀毒软件的定义是最新的,禁用JavaScript,只访问他们信任的网站,直到修复程序是Microsoft提供。
相关链接:http://www.symantec.com/connect/blogs/zero-day-internet-explorer-exploit-published
附1:国家计算机网络应急技术处理协调中心对该漏洞信息的通报邮件
附2:微软回应IE远程漏洞 承认可被远程控制
据美国CNET网站报道,在微软IE 6和IE 7浏览器爆出远程代码漏洞后,微软官方作出回应,称在调查该漏洞过程中发现,该漏洞确实可以通过IE远程控制计算机,但需要在“访问一个特定的托管站点”,用户才会有可能被控制。
转载请注明:Kermit的网站 » IE CSS 0day漏洞真实存在(zz)