业界已确认Google研究人员发现的IE新漏洞

法国安全公司VUPEN Security周三(1月5日)发布警告表示，已经确认之前Google研究人员Michal Zalewski所所提到的可能IE零时差漏洞，新的IE漏洞可能让攻击者取得系统的完整控制权。

VUPEN说明，黑客在网页中夹带特殊Jscript或DOM(Document Object Model)代码，以诱发IE浏览器的mshtml.dll程序库中“释放后使用记忆体”(use-after-free)错误的漏洞，来取得系统的控制权，尤其是Windows XP SP3中执行IE8的系统，Vista、Win 7、Server 2003、Server 2008、Server 2008 R2等操作系统若使用IE8浏览器将会影响。

该公司将这个漏洞列为最危险的“重大”（critical）等级，目前还没有修补的方式。稍后该公司在Twitter上表示，因为很难重现状况，验证该漏洞非常不易。

事情经过：

Google研究人员Michal Zalewski在今年的第一日（1月1日）公布一个cross_fuzz模糊测试工具。该工具可在微软IE、Firefox、Opera及Chrome与Safari所使用的Webkit等主要的浏览器中找出上百个漏洞，而所找到的这些问题都已经反馈给各个浏览器厂商，但这其中IE还尚未发布漏洞相关的修补程序。

其中有一位Webkit开发人员使用该工具后，不小心将该测试工具外洩，遭Google搜寻引擎找到并建立索引。Zalewski发现在上个月底有来自中国的IP在搜索IE浏览器核心“Mshtml.dll”的漏洞时找到他开发的工具，可能已经下载该工具与相关文件，包含至少一个漏洞的详细情况，因此决定公布相关资讯。

微软的安全团队曾希望他延迟发佈该工具，但遭他拒绝。微软认为他这样的作法，让使用者被攻击的风险变大，但Zalewski认为骇客可能已经取得所有细节与工具，而微软对他先前提供的漏洞资讯没有提出解决的方案，Zalewski列出他与微软间超过两年的讨论过程作为证明。

Google的工程师Tavis Ormandy也曾在微软还未完成修补漏洞就公布资料与概念攻击程序，但遭资安公司非议，认为他不负责任、没给厂商足够时间修补程序，是为虚荣让使用者暴露在危险之中。

相关阅读：

模糊测试原本是程序开发过程中，用来检验系统品质的黑箱测试方法之一。一般是在不知道原始程序码的状况下，在设备或系统中插入特殊软体，该软体以不特定的参数测试系统，以发掘系统漏洞与弱点。近几年来，资安公司注意到骇客利用该测试手法，有系统性的自动化寻找系统或软体的漏洞与弱点，再加以分析利用。