网友深度分析:IE 7漏洞击穿系统防线!
�t-a8K�g�g/C�O�o�~
(?6d%D�n&Z
7\%@+b'K�r�X9j�\�X
d D
在vista正式发布后,在一段时间内被认为是目前最安全的操作系统。可是接二连三的一些系统漏洞打破了Vista的安全神话。最新爆发的IE Speech API漏洞,更是让Vista的安全防线形同虚设,黑客可以利用这个漏洞控制整个系统。同时,由于这个漏洞是IE引起,所以,使用IE的所有微软系统均受到影响。
�C+N+u�d9j�X4{2v
0j0L�U$l�t;R�e�{
�m�k�|,o�\�y9y
最近一段时间,使用Vista的小张感觉自己的操作系统怎么也不听使唤,好像被别的什么东西控制了。不是操作系统自动重启,就是程序窗口自动关闭,甚至有的时候还会弹出各种各样的提示窗口。这到底是怎么回事?
$K�K�M.B�w�F)K;l
�w:N&a2u)`2c�Z
)a�n2p�_"Z
a#@#a,I
<BR clear=all>[img]http://school.cfan.com.cn/system/vista/he/h004/h30/img200707030859540.jpg[/img]
9Q9N!W1G5Z/D
"W(L�e�B�n.d
IE 7
�`�g v a�z�b�I$g
3R2x�T�u�L*y�K
-s�D
y�V�G:W�r&Y"f/E
这段时间,同小张一样困扰的微软用户不在少数。他们都是中了黑客的木马。是什么木马这么厉害让系统里面的杀毒软件集体实效?其实,不是木马厉害,而是黑客利用IE Speech API漏洞绕过了系统安全防线,直接获取了系统的控制权限。
�]�h$Q f�H�k�c�Z%S
�C-X%R�d�\'T:C%e
-G;k%W
V�{�D�c
什么是IE Speech API漏洞
�}.U6~�e�{�l
's�H�q�j.t q:|
(A.y1B�v�t�r�j
IE浏览器调用的Speech API的ActiveX控件存在缓冲区溢出漏洞,黑客可以利用此漏洞控制远程用户机器。微软的Speech API软件包主要提供文本语音和语音识别的相关功能,IE浏览器通过调用其中的一些ActiveX控件来实现这样的功能。
�f�m,G:u�|$p.[
�~8]+}![ ?
7q/y)E*t�]�K,E�m
但是调用这些功能组件分别由Xlisten.dll和XVoice.dll库提供,而正是这些控件中存在多个缓冲区溢出漏洞,所以造成了IE浏览器最终被漏洞击垮。如果用户受骗访问了恶意站点的话,则在处理有漏洞的ActiveX控件的某些方式或属性时可能会触发堆溢出或栈溢出,导致在远程用户计算机系统上执行任意指令。
r)_�{%_�b�z�f
4s�v6f�X�n�y2z5G,K$n6m
�p!S6q�E�j5j,[�}
.P']$H�b�S�C�U�S$^
�s5F)@6o2E�l�|�j
)~�k7I0m2\;q1R�p
(|:o�e�S2~�r
�l%G�? \4k:D
�^7j'L�h D�a!f�Y�H�e,?
微软近期有关IE的漏洞
3c�b�@3y�I+c�a-g
�y�V y�c(E�W!|.y+f�F
B�B
;H+@4b:j�v
IE navcancl.htm跨站脚本执行漏洞、Outlook Express MHTML URL解析信息泄露漏洞、vista不安全存储用户信息漏洞、IE语言包安装远程代码执行漏洞等。只不过它们的破坏性并不是太大,因此也没有引起用户的关注。
,q J�\�o+p/Z5_(_
�e�D�M7a�~)j4z
�d�z�{�_ {�b;?7m%T8X�_�O
黑客利用漏洞攻陷系统
�s�@0U�C6W/Q0?
e�A,Z
*a
w9x�k3c5?2w!i
2t$v�}�Q�A�J�^/w
首先,黑客会配置一个木马的服务端程序。运行木马Outbreak后点击“文件”中的“生成”命令,在弹出的窗口设置服务端程序的相关信息。最后点击“生成”按钮即可生成服务端程序,并且生成的服务端大小非常适合制作网页木马(图1)。
1p�R/s�D�{$y�_#J
�v/f
K�`�x(~�J�S
�s�\�{8L�N2Q�r�I
<BR clear=all>[img]http://school.cfan.com.cn/system/vista/he/h004/h30/img200707030859581.jpg[/img]
,J�W*H�{%d$[�f�Z1y�c
�L |9j!A&_"]'S�J1V
图1
�T�w�V(o�|�l�k�}�y
&?�m9S�v4|�q8e
;u�U�T8j�[�R3Q6`�n
当木马服务端程序生成完毕后,将它上传到网络空间中。运行漏洞利用程序,黑客只要在程序窗口中的“网马地址”选项中,输入木马服务端程序的网络路径后,点击“生成木马”按钮即可生成一个网页文件,这就是黑客要利用IE Speech API漏洞的网页木马(如图2)。
:j�Y+e/V�t�{+n2G g
i F*E S�T
c;z
o(h�v&V
[img]http://school.cfan.com.cn/system/vista/he/h004/h30/img200707030859592.jpg[/img]
�^1h'J!P O�B�V
/q&Y&R�u%{8]
图2
2L%_�b+Q2C/N�C*N b�R2u
�`5S+R�J�}8i
!I.e;H)E"S-u�|5a
现在将刚刚生成的网页木马也上传到网络空间中,将网页木马的地址通过电子邮件、网络论坛等形式进行发布,然后利用各种各样的借口诱骗其他网友点击网页木马。只要用户浏览就会立即被安装木马服务端程序,从而被黑客进行远程控制操作(如图3)。
�{�u�H:y%u
Z.v�F
�t6^�a�k5N)m�G8m�v
�y4~�y
o.F&M%i
[img]http://school.cfan.com.cn/system/vista/he/h004/h30/img200707030900003.jpg[/img]
:I�d�d�{&r){�N+@�r�F
�f�i)J
U"S
图3
�r�M(E�`�^0g�j�H
0f%U�`�A�h�~;O&Z9J
7h(U�z,\/n!O�D
�j�M'd�e#[�S7g�l�O
%N5d7x�Y;L-O"{�c:c
R.c i�d5\4P�s9q
�B5r)i
S�f�c:k/^�o
#e&e-y�Z�@�U&M
,D�E t�{:^$S%E
漏洞虽大 仍有法可防
-s:p;G3X�k7R%T
4b�B�{1p�J�V&I�_
�r#s:N�z&s�Z�z*L
由于IE Speech API漏洞是利用网页木马这种形式进行传播的,同时影响的范围又是特别的广泛,因此各位用户应该立即对该漏洞修补防范。
7E'N T1X�x�}�_�y
�v0@�e�p�M&G�e
�^�t2V,U4R7F
1.及时安装安全补丁
�l.o�h2x�K.{�F�J
.C*{5?�K0S(z:g
B-T4c
-a1K:J�o$d.h�j9x�o(w�V
不论遇到怎么样的漏洞,最简单最有效的方法就是安装相应的安全补丁。用户只要登录到微软“IE Speech API 4 COM对象实例化缓冲区溢出漏洞”的相关网页,根据自己的系统版本进行下载安装即可,当然用户也可以直接利用杀毒软件的漏洞修复功能来进行安装(<A href="http://www.microsoft.com/china/technet/security/Bulletin/ms07-033.Mspx">点击进入官方下载页面</A>)。
�t#a�]�C(u�c2H8c�j�h
2E�K1p7c�?5N
(t�}�K'X�\�s�j�`�b;_)D
2.系统临时防范方法
2u \�{�~ V�w'`�F�|
�X
k"a�k7P X
%U�w�\�F�d�v
如果用户在第一时间里面无法安装安全补丁的话,可以利用在IE浏览器中禁用Speech API 软件包的ActiveX控件进行临时性的防范。运行《Windows优化大师》后,点击“系统维护”中的“其它设置选项”。
�m&[4?.b([�a
�b5~9}�c(x�b�v
�X�q�_�[5R�L�U"^�W�z
_
在“禁止浏览网页时安装下列ActiveX控件”选项中点击“添加”按钮,在“ActiveX控件ID”中设置插件和(如图4)。完成后在列表中选中刚刚增加的CLSID,最后点击“确定”按钮就可以进行防范。
'N�}�Y;P�W�S�?
c�o&w
�_�j�_2M�V3P)k/t�Q�l:Y�u;M k
0z(S0w�X�C%M�x'w
<BR clear=all>[img]http://school.cfan.com.cn/system/vista/he/h004/h30/img200707030900004.jpg[/img]
-?*}#r/F,\
-Z�@:Q�R9x
图4
$T&\)x,e�N1y7F
(? G�\,W4u(a�Z)E�Z;x%f
E�B
G'V&C2e3H)M)R�w
)W�n�P�P�E�j�k7L
�W*C;}+g�a'p�V!d
2W P�A�l:M(N6@�s�z.G
编后
6h5A�q*r:H
�H�n'[�_�e�K4M7K�I�n
:a,@�_+M4X8u
虽然这个漏洞出自微软的IE浏览器,但是归根结底还是由ActiveX控件造成的。自从微软1996年推出ActiveX技术以来,ActiveX技术已经得到很多软件公司的支持和响应。虽然ActiveX技术确实为软件开发以及应用带来了便利,但是与此同时也带来了极大的风险,正如今天我们讲解的这个漏洞。
+M#M/J&~�w$^
�x(\�{�H�n
:]%Y/B�e�P�F
目前,利用ActiveX技术漏洞的网页木马已经很多了,而且随着ActiveX技术的不断发展以后会越来越多。如果没有一种能够取代ActiveX的更加安全的技术,那么此类漏洞仍然会成为微软系统的一大挑战。