关于微软浏览器IE 8 CGenericElement对象内存释放重用零日漏洞的安全公告

2013-05-08  点击:[]

安全公告编号:CNTA-2013-0014

近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft IE 8 CGenericElement对象内存释放重要漏洞(CNVD-2013-23894,引用CVE-2013-1347)。利用漏洞,远程攻击者可通过诱使用户访问恶意网页发起挂马攻击,控制用户主机,目前,针对漏洞的利用代码已经公开,对IE 8用户构成较为严重的威胁。

一、漏洞情况分析

IE 8没有正确处理CGenericElement对象的引用关系,恶意攻击者通过精心构造的页面可以使CGenericElement对象被错误地释放掉,进而导致内存释放后重用。远程攻击者可以利用漏洞构造挂马页面,诱使用户访问,发起大规模挂马攻击。

二、漏洞影响范围

CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的IE浏览器软件版本包括IE 8,而IE 6、7、9和IE 10不受此漏洞影响。

目前,互联网上已经披露了该漏洞的攻击利用代码且有国内外安全组织已经监测到针对漏洞的大规模攻击情况。根据互联网报道的相关情况,该漏洞曾在近期导致美国劳工部(Department of Labor,U.S.A)网站服务器被黑客入侵。

三、漏洞处置建议

目前,微软公司尚未提供漏洞补丁,但已发布了针对此漏洞的安全公告。在此期间,建议用户采取以下措施防范漏洞威胁:

(1)建议IE用户进行版本升级,采用IE9或IE 10;

(2)对于未进行升级的IE用户,通过安装主机安全防护软件以及更改提高IE安全配置等级等方式,一定程度上能阻止网页中异常的ActiveX控件以及恶意脚本的运行。

相关安全公告链接参考如下:

http://technet.microsoft.com/en-us/security/advisory/2847140

http://www.cnvd.org.cn/flaw/show/CNVD-2013-23894

上一条:ESET NOD32升级至6.4 下一条:提供微点杀毒软件(一年期)和主动防御软件(半年期)

关闭