鉴于此漏洞的危险性, 作为美国微软在国内的安全服务提供商, 我们已第一时间发布公告并且分析出漏洞细节, 并提交给美国微软相关部门, 这里不再公布具体细节。 知道安全团队(KnownSec team)于近期捕获利用IE7一个内存越界的漏洞进行攻击的恶意代码。 此漏洞于11月在小范围内泄露, 于12月9日前后才完全出售流通在黑色产业, 并且有人赶制出网马生成器, 相信会在短期内十分流行。 由于该漏洞在我们监控系统最初捕获时我们团队没有很详细地分析, 以为是已经被修补的漏洞, 并且在网络上发现了很多网马以及代码帖子, 以为不是0DAY漏洞, 便在内部共享粘贴流出了网络上流传的代码以及挂马页面的代码。 这是我们的失误:(历史:IE7的XML里存在可以导致内存越界的漏洞, 通过编写畸形XML代码并且使用JavaScript脚本操作SHELLCODE去执行任意代码。 在2008年下半年开始有流传IE7的漏洞, 并于10月份左右开始流出私人买卖, 于11月份流入黑市买卖, 开始有人面谈出售。 最终出现在网络的具体时间为12月份, 大量二手三手漏洞在黑产运作层流通, 并且于12月份初开始有大量的人购买二手代码去开发生成器, 在9号开始出现在挂马利用上。 分析:影响版本:系统:WINDOWS XPWINDOWS 2003浏览器:IE7描述:由于SDHTML里处理对象存在在错误导致内存紊乱。 构造某种条件可以使得SDHTML检测到错误释放已被分配的对象, 但是释放已被分配的对象后SDHTML并未返回而是继续使用被释放的对象的内存执行, 如 果这些内存又被分配给其他用途, 将导致SDHTML把这些内存当作一个对象来操作。 0DAY挂马里使用了XML的SRC字符串对象占用了这些释放对象的空 间, 而对象指针里包含函数例程指针, 最终导致代码执行 。 由于该漏洞尚未被修补, 具体细节请等待微软官方发布补丁的详细参考。 防御:1.请关注微软官方网站及时下载补丁。 2. 开启DEP保护:系统属性——高级——性能——数据执行保护可以防止恶意攻击。 3.将wwwwyyyyy.cn以及sllwrnm5.cn加入HOSTS进行屏蔽。 复制一下代码进入HOSTS即可:127.0.0.1 wwwwyyyyy.cn127.0.0.1
