SetMouseCapture IE零日漏洞是由安全厂商FireEye在9月份最先发现的,其实安全专家之前就预期会出现该漏洞。由于它是自检测的,所以FireEye公司发现了至少三个利用该零日漏洞进行主动攻击的活动,其中之一要追溯到Hidden Lynx,它是中国专业黑客团队,并被认为与今年早些时候攻击了安全厂商Bit9的事件有关。
虽然只观察到了基于有限区域的有针对性的攻击的一部分,但是利用代码漏洞,一旦被公开披露,它会急剧蔓延。上周,渗透测试工具Metasploit发布了一个利用IE零日漏洞的攻击模块,这进一步增加了微软提供补丁的压力。
根据零日漏洞CVE-2013-3893的调查结果,微软表示,该漏洞是由于IE"访问了内存中已被删除或没有正确分配的对象"产生的。这样,攻击者就可以执行任意代码,华盛顿Redmond总部软件专家表示,攻击者可以建立一个特定的网站,利用该漏洞来欺骗用户访问它。
第一个公告是MS13-080,它是作为一共解决IE浏览器的10个漏洞累积安全更新,CVE-2013-3893是唯一一个公开披露的。
尽管很多安全专家都知道零日漏洞,但位于波士顿的漏洞管理厂商Rapid7的安全工程高级经理Ross Barrett还是提出了一个单独的IE零日漏洞CVE-2013-3897,它是第一个公告中没有公开的9个漏洞之一。他表示,这个第二个零日漏洞也会被用来进行有针对性攻击。
Barrett强调:"这并不是说其它8个IE漏洞就没有潜在的破坏性,不过至少到目前为止,它们还没有被利用进行针对性攻击。"
除了在MS13-080中提供的重要的IE更新,微软还在其优先级最高的部署中分类了两个其它更新版本。第一个是MS13-081,它在微软Windows各版本之间提供了7个问题的补丁。在这个版本中的私人漏洞补丁中,该公司表示最重要的是如果用户使用嵌入式OpenType或者TrueType字体文件,则允许远程代码执行。攻击者可能会通过这个漏洞获得内核级的系统访问,尽管目前还没有发现任何活跃漏洞。
微软发布的另一高优先级的补丁是MS13-083,它只解决微软Windows和Windows Server多个版本中发现的一个问题。如果一个系统可以接收从ASP.NET Web应用程序的特定请求,那么它就是另一个允许远程执行代码的漏洞。微软提醒,一旦成功利用该漏洞会授予攻击者本地用户的权利。Barrett表示,这个漏洞提出了一个"潜在的'蠕虫'条件",这就提醒我们,如果攻击者根据它进行自动化漏洞,就可以测试到企业防御系统。
在十月份的补丁星期二中发布的MS13-082解决了其它"关键"漏洞。其中解决的最严重的漏洞就是如果用户访问了一个包含能操纵OpenType字体文件的网站,它会允许远程代码执行。这种漏洞存在于Microsoft .NET架构的其中几个版本中。
