IE“圣诞”安全漏洞爆发

网络游戏网站成灾区

[导读]虽然现在圣诞节已经过去十多天了,但由它引起的一场安全灾难却刚刚发生,多家安全厂商都监测到了此次的网络安全事件,而且尤其以网络游戏站点受害最为严重,看来PC游戏玩家的安全意识还有待提高,对病毒的防范意识更需要加强.

2011新年元旦刚过，去年圣诞节前曝出的IE CSS“圣诞”漏洞就遭到了黑客的攻击。据瑞星、卡巴斯基、赛门铁克等多家国内外安全厂商公告：该漏洞可被黑客利用挂马，影响主流版本的IE浏览器，其中包括安全性较高的IE8。据悉，国内互联网上已经出现上百个利用该漏洞挂马的恶意网页，其中多数为在线小游戏网站。

据悉，IE CSS“圣诞”漏洞有两大特点。第一，该漏洞的攻击代码运用了一种新型的攻击方式（.net库中没有经过ASLR随机地址的一个库文件），能够绕过大多数安全软件的网页防护功能；第二，该漏洞可以使IE8浏览器被挂马网页直接攻击。而在此前，挂马网页威胁的通常只是IE6和IE7浏览器的用户。

一些黑客论坛上，IE“圣诞”漏洞被普遍视为“新年红包”，相应的“网页木马生成器”也被明码标价售卖。根据360安全中心监测的信息，在过去两周时间内，针对该漏洞挂马的恶意网页数量与日俱增。尤其是在元旦期间，黑客开始在一些人气较高的游戏网站、小说网站、音乐网站上挂马，漏洞危害正在急剧放大。

对此，安全专家石晓虹博士认为：“随着‘网页木马生成器’被黑客用于批量挂马，IE‘圣诞’漏洞攻击将进一步扩散，严重程度可能超过导致谷歌被黑客入侵的IE‘极光’漏洞。360安全卫士因此紧急发布了临时补丁，在微软官方修复漏洞前可以免疫目前黑客利用这个漏洞进行的攻击。”

图：网络安全软件拦截到的IE“圣诞”漏洞挂马攻击

“安全漏洞相当于一间屋子破了洞，可以被小偷钻进来。在彻底修好屋子前，最好的安全措施是盯紧这个洞，不让任何坏人出入，安全卫士的临时补丁就能起到这个作用。”截至发稿前，微软尚未透露何时提供官方补丁修复IE“圣诞”漏洞。

根据安全中心介绍，临时补丁无需用户手工下载，即可通过自动升级的方式更新该补丁，从而获得对IE“圣诞”漏洞攻击的免疫能力，并完全和微软官方补丁兼容。此前国内著名安全辅助软件曾多次针对微软和第三方软件的高危漏洞提供临时补丁，包括IE XML漏洞、Mpeg-2视频漏洞、绿坝远程代码执行漏洞等。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点