IE漏洞两度掀起波澜

　　2010年上半年对于IE浏览器来说可谓不甚平静。1月14日，微软发布安全警告称，在当时的IE全系列版本中发现了一个由于访问被删除对象而导致任意代码执行的0day漏洞。这个漏洞分别有一个很好听的中英文名称：“Aurora” (极光)。不过，这个漏洞恰似南美热带雨林中的箭毒蛙一样，在看似美丽的修饰下面却蕴含着极大的威胁。果不其然，1月16日，利用该漏洞的恶意代码便在互联网上初露端倪。恶意代码的公布好比是打开了潘多拉的魔盒，随之变得一发而不可收拾。

　　1月19日，江民科技首次监测到了利用“极光”漏洞进行的挂马事件。而随后几天的监测数据表明，利用该漏洞进行恶意程序传播的站点开始出现猛增的态势，由此导致每天监控到的恶意网站数量较漏洞出现之前增加了数倍。原本显得疲态毕露，甚至依赖于多年前老旧漏洞的网页挂马再次找到了兴奋点，不法分子们如同“久旱逢甘露” 一般趋之若鹜地投身到了新一轮的挂马大潮之中。

　　鉴于事态紧急，微软打破了每月推出安全更新的惯例，破例于北京时间1月22日凌晨推出了MS10-002号安全公告及相应补丁以对此漏洞进行修复。补丁的推出可谓将处于水深火热之中的广大网民及时地解救了出来，这从根本上降低了利用该漏洞进行挂马的成功率，势必也会严重地影响挂马者的积极性。不过据江民科技的监控数据显示，利用该漏洞进行的挂马行为依旧密集，这种情况一直持续到了3月18日，之后利用该漏洞的挂马便进入了消沉的阶段，仅偶有零星的挂马页面会再度利用这个已然大势已去的0day漏洞。

　　补丁的推出对于终结“极光” 漏洞起到了至关重要的作用，不过这还不是导致“极光”消褪的全部原因。致使“极光”失色的另一重要因素，是挂马者们又觅到了“新欢”――“CVE-2010-0806”。这个漏洞不像“极光”有着一个美丽的名字，其标准的国际化漏洞编号命名仿佛直接警示着每个人，这势必又是一个将在全世界范围内掀起惊天波澜的0day漏洞。

　　这个漏洞与“极光”一样，同样是由错误地引用被删除对象而导致，微软于3月9日向江民等MAPP成员通告了该漏洞的相关信息。仅仅在3天之后，江民科技便监测到了利用“CVE-2010-0806”漏洞进行的挂马事件。上次漏洞的迅速修复，如同给刚刚热闹起来的挂马泼了冷水一般，令不法分子心有不甘。不难想象，挂马者必定会借助这次漏洞事件来继续之前未能实现的非分之想。恶意站点的数量再次猛增，新漏洞迅速成为了挂马者们争相追捧的对象。这一次挂马者们从许多方面都下了功夫，比如，加密最终的恶意程序，并且在下载后通过shellcode进行解密。利用一些管理不严格的动态域名服务商频繁地更换二级域名，以此躲避杀软厂商的围剿等等。显然，挂马者们通过各种手段和方式，妄图增加漏洞利用的成功率和相关恶意程序的生存几率，从而在最大程度上谋取非法的经济利益。

　　由于种种原因，微软原计划于4月份的例行安全更新中修复这一漏洞。但或许是考虑到IE6、7用户量众多，由此造成的社会影响较为广泛，微软再次打破惯例，于3月31日发布了MS10-018号安全公告及对应补丁，从而彻底帮助用户免遭漏洞的侵害。虽然从补丁发布至今已经过去了3个多月，但时至今日该漏洞依旧是挂马者的首选，相应的挂马页面也是屡见不鲜。这点从利用该漏洞的“CVE-2010-0806”攻击者脚本病毒一直稳定在周、月疫情统计中前5名甚至前三甲上便可见一斑。不过，自6月末至今，“CVE-2010-0806”攻击者脚本病毒便表现出了持续的下跌，逐渐的淡出了流行病毒的排行。