吳明宜 |
「未經協調公佈弱點的年代已經來到。」法國弱點研究公司 Vupen 在 Twitter 上發短文指出,證實由 Google 員工 Michal Zalewski 在 Windows XP SP3 上發現的 IE8 零時差攻擊弱點。
Vupen 將該弱點風險程度評為重大;該弱點也影響到 Windows 7 、 Windows Server 2008 SP2 與 R2 、 Widows Vista SP2 及 Windows Server 2003 SP2,但目前尚未派送修補程式。
根據 Vupen 指出,本問題是源自於 Jscript 物件和 Document Object Model(DOM) 物件處理循環參照時,mshtml.dll 函式庫中的 use-after-free 發生錯誤;這會引起遠端攻擊者透過變造的網頁執行任意程式碼,攻擊者就可攻擊該弱點,並取得目標系統的控制權。
Vupen 在後續更指出,驗證本弱點過程中,複製十分困難。 Google Zaleswski 公佈了他在 2008 年發現該弱點並通知微軟,然後於 2010 年 7 月發出警示的時間紀錄。
不過微軟表示 Zaleswki 指出的弱點只發生在他 fuzzing 工具的第三版,時間為 12 月。當時微軟曾要求 Zaleswki 延後發佈 fuzzing tool,讓該公司有時間可加以解決。
「在檢視新版本工具及攻擊紀錄後,我們要求 Zaleswki 在我們進一步調查之前,先不要發佈新版工具及弱點資訊。且明確告知 Zaleswki,我們對他公佈前兩版工具沒有意見。」微軟信賴運算回應通訊中心部門經理 Jerry Bryant 說。
Zaleswki 拒絕延後發佈最新版 fuzzing 工具,表示中國的安全研究人員,或是駭客已經開始在探戡該弱點;他的說法被 Bryant 斥為誇大危險。