12月23日，360安全中心發布橙色安全警報稱，IE瀏覽器出現一個最新的高危"圣誕"0day漏洞，可以導致木馬遠程入侵網民的電腦，影響IE6、IE7、IE8及所有IE內核瀏覽器。據悉，國內"IE系"瀏覽器整體覆蓋率高達93%以上，九成以上的中國網民電腦將受到該漏洞的威脅。截至發稿前，360安全中心已經緊急啟動漏洞預警機制，目前360安全衛士"網盾"模塊能夠成功防御網上公開的漏洞攻擊代碼。

360安全專家石曉虹博士介紹說，IE"圣誕"漏洞是一個典型的遠程代碼執行漏洞，它是通過特定方式重復導入CSS樣式表而觸發漏洞。也就是說，當網友使用IE瀏覽器打開一個利用該漏洞掛馬的網頁時，電腦就會自動下載運行黑客設定的木馬，使自己的重要帳號和個人隱私被木馬竊取。

經分析，由于IE"圣誕"0day漏洞影響面廣、對最新流行的"Win7+IE8"組合也極具殺傷力，未來很可能會成為掛馬網頁的主要攻擊目標。360安全中心監測數據表明：目前國內共計有120余萬個掛馬網頁，其中包括大批熱門的小說網站和游戲網站，此外還有眾多教育類和機構類網站也被黑客入侵掛馬，360安全衛士"網盾"模塊每天攔截的掛馬網頁攻擊數量超過800萬次。

"如果黑客利用IE0day漏洞來傳播近期泛濫的'網購'木馬，其危害將特別嚴重。"根據石曉虹介紹，國內主要的網上銀行和網上支付平臺只支持IE內核的瀏覽器，而圣誕節到元旦期間網上購物活動非常活躍，如果黑客借機傳播"購物"木馬，通過漏洞將木馬潛伏在受害網友的電腦中，監視并篡改網上支付鏈接，就會使受害網友把購物或轉賬的錢直接打進黑客的賬戶里。

據悉，目前微軟官方網站已對此漏洞發布了安全公告（CVE-2010-3971），建議用戶安裝并及時更新安全軟件，但并沒有透露何時將發布補丁。為此，360安全中心提示用戶，近期上網時不要隨便打開陌生人發來的鏈接和電子郵件，應注意定期掃描查殺木馬，可以降低網上支付交易的風險。

360安全中心關于IE"圣誕"0day漏洞的技術分析

該漏洞是通過import方式重復導入CSS樣式表導致的一個指針引用錯誤，通過unicode字符串的CSS樣式表控制地址。

網上公開的漏洞攻擊代碼運用了一種最新的攻擊方式，漏洞利用了.net庫中沒有經過ASLR隨機地址的一個庫文件，這個漏洞庫是.net庫的".NET IE mime filter DLL"。

漏洞觸發后進入這個庫的地址空間范圍，通過ROP shellcode(Return Oriented Exploitation) 的方式繞過了IE8 DEP。同時，一些安全軟件的部分網頁防護功能也會因此失效。

不過，該漏洞攻擊存在一個前提條件，就是需要惡意網頁的訪問者電腦中安裝".NET庫"。目前"Win7+IE8"默認安裝了".NET庫"，可以被黑客利用漏洞直接攻擊"Win7+IE8"組合，再配合一個本地提權漏洞就可以繞過其"低權限保護模式"；Windows XP則沒有默認安裝".NET庫"，因此黑客進行大規模掛馬攻擊還需要開發兼容的攻擊代碼。

360安全衛士"網盾"模塊能夠成功防御網上公開的漏洞攻擊代碼。目前360安全中心正在進一步評估漏洞威脅，預期將通過產品更新來徹底為用戶免疫漏洞攻擊。