最近一段时间,微软IE曝出“极光漏洞”,谷歌号称也是此事件的受害者,在各大媒体的宣传下,各种解决方案也随即而出。众多第三方安全厂商推出了临时的补丁,但微软却对此不买账,称第三方补丁不可靠,越俎代庖的好坏成为双方不肯停止的话题。
　　
　　满城竟带“极光”
　　
　　IE“极光”已经是IT圈里的名人了,我们可不能不认识一下。这个漏洞存在于IE浏览器的关键组件mshtml文件中,漏洞产生的原因可以这么理解:IE浏览器(老板)吩咐员工A去办事,而员工B被员工A叫过去帮忙(老板不知道)。后来老板看A不爽炒了他鱿鱼。而B是和A一起做的事情,知道很多鲜为人知的秘密,但是IE浏览器以为没有第三者知道公司秘密,这就出现了漏洞。然后B冒用了A身份通过掌握的秘密,入侵了老板的保险柜,从而获得了公司的控制权(可以执行任意代码)。这个漏洞受到广泛关注主要是可利用率高,黑客可以精心构造一个包含漏洞的恶意代码并通过入侵网站将恶意代码植入到网站上,普通用户访问相应网站的时候如果没有防护就会触发漏洞从而下载大量的盗号木马、黑客工具到电脑里面。
　　
　　IE生病,你能越俎代庖?
　　
　　针对前面的分析,我们知道IE用户众多,漏洞公开,很多黑客都会加以利用,按常规,我们只能等微软自己把IE的这个漏洞给修复,但本次国内安全厂商先后推出自己的临时补丁,第三方怎么能打补丁?
　　
　　限制权限 看你怎么着!
　　微软虽没有立即给出补丁,但临时解决方案里面提到了通过DEP(数据执行保护)来防御漏洞的攻击。就是说我们不能修复IE本身,但可以把IE限制起来。这种技术就好比用一个笼子将IE关起来(见图1)。将它的活动范围限制在有限的笼子里面,保证它不能干坏事。就好比前面的例子,咱们把员工A的权限放低,让它暂时不能随便行走,问题也就基本解决了,这也就是贝壳IE极光漏洞补丁的实质。具体步骤如下(以添加IE浏览器保护为例):打开注册表,浏览到键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom],在Custom下新建一个名为iexplore.exe的键值。
　　
　　监控内存 有洞就补
　　都听过女娲补天的传说,既然是漏洞,微软可以补,我们为什么就不能发挥下自己的聪明才智,自己来帮微软打补丁呢?世上无难事只怕有心人。360“极光”IE 0day漏洞临时补丁就是自己制作了一块“补天石”,当一个存在漏洞的文件被浏览器加载以后(见图2中有上面的mshtml文件),它会用“补天石”把有漏洞的地方补上,从而保证内存中的文件是安全的(见图2中下面的mshtml文件)。
　　
　　远端拦截 任由驰骋
　　一个是笼中之鸟,一个是女娲补天,是否还有其他方式可以在恶意攻击开始之前就能够防御的?让我们将目光转移到网页源代码,我们发现访问一个被挂马的网站其实里面既包含了恶意的代码(见图3),也包含了正常代码,那么有没有办法可以把恶意代码剥离出来不要呢?有趣的是金山网盾IE0day(极光漏洞)防护工具就是采取这种方式,访问网站的时候它会帮你将坏的恶意代码挑出来删除掉,然后让正常的代码继续运行。这种方法是不管IE安全与否,从网站一端剥离危险,这种方法对IE没有限制,但安全与否完全靠补丁对网站代码的防范。
　　上面提到的开启DEP修补漏洞的方式为冷补丁,而360推出的采用监控内存进行修复的方式称之为“热”补丁,这两种补丁都是围绕着出现漏洞的软件而做出的,相当于是在“当事人”周围进行防护,这样,有效保护了当事人,但或多或少会影响当事人的生活。而金山推出的采用远端拦截的方式来防范威胁的方式是脱离IE,相当于是在事发地点的外圈进行巡逻,这种方式相当于不影响当事人,但巡逻的能力是保护的关键,我们对保护能力比较担忧。总之,第三方的补丁无论如何,都是针对威胁本身进行防范的,以不让发生的漏洞引发问题为目的,并没有在真正意义上去修复漏洞。微软自己发布的补丁才是真正对软件的修复,第三方补丁在软件厂商本身还没发布补丁之前使用是对的,当软件厂商正式公布补丁之后,威胁才从根本上消失。