美国时间1月14日,微软官方发布了Microsoft Security Advisory (979352)安全公告,确认在IE6/7/8版本中,存在名为"Aurora"(极光)漏洞,涉及的操作系统包括:Windows 2000 SP4, Windows XP/2003/Vista/2008,Windows 7。微软在安全公告中表示,IE在特定情况下,有可能访问已经被释放的内存对象导致任意代码执行,该漏洞可以被用来进行网页挂马。截止1月18日,微软并没有发布针对该漏洞补丁的时间表。 漏洞最早发现于GOOGLE被攻击事件 江民反病毒专家表示,该漏洞最早可溯源于GOOGLE被攻击事件。美国时间1月12日,Google在其官方blog上发表文章,称Google和至少20家其他公司遭到了源自中国的攻击。攻击造成部分Google知识产权被盗。通过技术分析,这些攻击带有明显的针对性,企图监视若干中国人权主义人士的 Google帐号,但并没有成功。鉴于长期以来,来自中国的攻击和中国对互联网内容的审查和限制,Google考虑几周之内和中国政府谈判,有可能关闭网站,撤销谷歌中国。而在此事件中,攻击Google所利用的正是"Aurora"(极光)漏洞,Google据此认为其正在受到严重干涉,因此导致了其副总裁发布退出中国市场的声明的事件。 相关"Aurora"(极光)行动 Google攻击事件发生后,国外安全人士发表科技博客首先确认了该漏洞,通过他们分析,袭击Google和其他若干公司的攻击正是利用了IE浏览器的一个0-day漏洞。并把这次攻击称为"Aurora"(极光)行动(张韶涵有一首同名歌曲《欧若拉》)。技术人员在分析恶意exe文件时,发现exe调试信息中包含的开发环境路径中存在"Aurora",说明编写恶意exe程序的程序员使用名为Aurora的文件夹来保存源代码。安全人士据此认为黑客自己可能把此次攻击攻击代号取名为"Aurora"。 江民杀毒软件紧急部署监控 北京时间1月15日,包括江民科技在内的微软MAPP成员接到了微软通知,获知了相关漏洞详细技术信息,微软不但详细解释了漏洞原理,并给了一个可以造成IE崩溃的简单示例代码。江民科技迅即根据相关技术细节在杀毒软件中进行相关技术部署,推出监控和拦截利用漏洞的恶意网页监测代码。由于MAPP成员与微软签有保密协议,因此MAPP成员并没有对外界透露该漏洞的细节情况。1月16日,利用该漏洞的代码在网上被国外某安全研究机构公布。 江民反病毒专家提醒,根据以往经验,一旦代码被公开,很快就会被大量应用于网页挂马。由于"Aurora"(极光)系“0-day”漏洞,微软尚无补丁发布,并且该漏洞涉及IE版本众多,可能对互联网安全造成极大的影响。 目前,微软以及MAPP成员对该漏洞十分重视。作为MAPP成员之一,江民科技已经紧急研发出监测代码并升级,一旦发现利用该漏洞的病毒或恶意代码,将紧急升级杀毒软件病毒库进行拦截,请广大用户密切关注微软以及其它安全厂商动态,及时下载相关安全补丁,开启杀毒软件网页监控功能,避免遭到利用该漏洞的病毒攻击。 |