新发现 IE 的漏洞可能导致远程代码执行攻击

大家好, 我是 Richard Chen.

关于这两天互联网上讨论非常红火的 IE 新漏洞攻击情况在这边跟大家分享一下微软目前的发现。
根据目前调查结果，IE7 安装在以下提供支援的平台会受到影响:

Windows XP Service Pack 2 及 Service Pack 3 (含 x64)
Windows Server 2003 Service Pack 1 及 Service Pack 2 (含 x64 与 Itanium)
Windows Vista 以及 Service Pack 1 (含 x64)
Windows Server 2008 (含 x64 与 Itanium)

攻击者可能会构造一个恶意网站并且诱使使用者连接到该网站达成攻击目的。
当攻击成功后所得到的权限与目前登入的使用者权限相同。
然而，直接阅读 Email 目前是无法导致攻击成功，除非使用者连接到该恶意网站。

研究发现若使用者能实现以下缓解因素，则受到攻击的可能性将大为降低:
- 在 Vista 中启用 IE7 保护模式
- 预设 Windows Server 2003 以及 Windows Server 2008 上面安装的 IE7 运行在限制模式 (Restricted Mode)
这些模式已经将互联网 (Internet zone) 的级别设为高度安全 (High)，建议请不要降低安全级别。
- 启用个人防火墙以及更新杀毒软件病毒库

目前企业中最有效的临时解决方案为:
- Set Internet and Local intranet security zone settings to "High" to prompt before running ActiveX Controls and Active Scripting in these zones
- Configure Internet Explorer to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone
- Enable DEP for Internet 7

以上详细资讯可参考刚刚发布的 Security Advisory 961051。
微软正积极与 MAPP 以及 MSRA 项目伙伴合作来保护使用者并考虑发行额外安全补丁的可能性。
我们建议客户尽快了解及评估 Advisory 961051 的内容并在环境中构建临时解决方案。

参考资料：
- MSRC Blog: https://blogs.technet.com/msrc/archive/2008/12/10/microsoft-security-advisory-961051.aspx
- Microsoft Security Advisory (961051): https://www.microsoft.com/technet/security/advisory/961051.mspx

Richard Chen
大中华区软件安全项目经理