Win7之家:一个IE漏洞披露两年竟无人重视?

CVE-2014-4114和CVE-2014-3566

这两天关注安全的人员都会特别留意这两个新披露的漏洞:CVE-2014-4114 和
CVE-2014-3566。下面我们就针对这两个漏洞最一些简要说明。

CVE-2014-4114

这个漏洞已经在本周发布的MS14-060更新中被修复,我们建议用户尽快部署安装此安全更新来防范相关的潜在威胁。这个漏洞存在于Windows系统对于OLE内嵌对象的处理方式中,因此虽然是一个操作系统层面的漏洞,但最为常见的载体却是Office文档等支持OLE对象的文件。作为缓解措施和安全最佳实践,我们建议所有用户在打开任何来源不明的文档时要特别注意,尽量不要直接打开由陌生人发送或分享的Office、PDF等文档。有关此漏洞的更多技术分析内容,大家可以参考

CVE-2014-3566

在这个漏洞最初被曝光的时候,很多人将其和不久前的OpenSSL心脏出血(Heartbleed)漏洞相提并论,认为其危害性堪比Heartbleed。不过事实的情况并非如此。目前CVE-2014-3566的主要危害是泄露用户在SSL加密通道中的信息,比如cookie等,但攻击者要实现这一攻击首先要在用户的网络环境中能够截获客户端和服务器之间的通信,其次攻击者需要发送大量的请求才能获得一个cookie的完整内容,理论上是发送256次请求可以获得一个字节的信息,因此攻击实施的效率并不是太好。有关此漏洞的技术分析可以参考

这是一个专门针对SSL 3.0的信息泄露漏洞,TLS并不受影响。因为SSL
3.0是一个业界的安全协议,所以它不仅影响微软的Windows系统,还同样影响所有支持SSL
3.0的其他系统和应用。也正是因为这是一个业界协议标准中的安全漏洞,修复起来就没有那么容易,微软目前无法直接发布一个更新来更改SSL
3.0协议的处理方式。对于SSL
3.0协议还需要众多厂商和标准组织一起参与,来做出最合适的决定。微软目前也没有计划全面在Windows中禁用SSL
3.0,原因是现在还有非常大量的服务器不能支持TLS而只支持SSL,因此全面禁用SSL
3.0势必会造成大量的兼容性问题。对于普通用户而言,我们还是将禁用SSL
3.0作为针对此漏洞的缓解措施。在禁用SSL
3.0后当然客户端不用再担心因为这个漏洞而导致的信息泄露,但如果用户发现某些HTTPS网站无法访问,那很可能是因为该网站只支持SSL。具体在Windows或IE中禁用SSL
3.0的方式请大家参考微软的安全通报3009008。

程凌

微软大中华区安全项目经理

这两天关注安全的人员都会特别留意这两个新披露的漏洞:CVE-2014-4114 和
CVE-2014-3566。下面我们就针对这两个漏洞最一…

安全研究人员克里斯·埃文斯最近表示,微软IE浏览器的一个漏洞会泄露信息,可用于窃取数码安全令牌和其他敏感的数据,而这个漏洞披露超过两年却无人搭理。

安全研究人员近日发现了一个严重的XSS
0day漏洞,该漏洞可影响最新版本的IE浏览器,将用户暴露在被攻击和身份盗窃的危险之中。

该缺陷存在于IE的错误的JavaScript处理机制,某些情况下,部分内容会回显给攻击者,使他们能够取得敏感的JavaScript变量,这可能会导致安全令牌被盗取,制造跨站攻击,例如可以迫使用户未经允许订阅一个有害的内容。

图片 1

Firefox那时也曾经一同受到类似攻击,但在2008年12月,也就是漏洞披露当月就已经被修补。

漏洞信息

微软发言人对此回应称这是一个低严重性的信息泄露漏洞,要实现成功的攻击需要受害者在特定情况下才能实现,目前微软没有检测到利用该问题实现的攻击,但会尝试更新以解决此问题。

该漏洞能够影响完全修复过的IE浏览器,黑客可以利用该漏洞盗取用户的敏感数据(例如登录凭证),并能向浏览器会话注入恶意内容。

查看测试页面:CLICK TO GET YOUR GOAT ON – THIS COULD BE AUTOMATED

攻击者利用该XSS漏洞可以绕过同源策略(SOP)。同源策略是web应用中一个基本的安全模型,用来保护用户的浏览体验。

同源策略在维基百科上的解释为:

发表评论

电子邮件地址不会被公开。 必填项已用*标注