12月23日，360安全中心发布橙色安全警报称，IE浏览器出现一个最新的高危"圣诞"0day漏洞，可以导致木马远程入侵网民的电脑，影响IE6、IE7、IE8及所有IE内核浏览器。据悉，国内"IE系"浏览器整体覆盖率高达93%以上，九成以上的中国网民电脑将受到该漏洞的威胁。截至发稿前，360安全中心已经紧急启动漏洞预警机制，目前360安全卫士"网盾"模块能够成功防御网上公开的漏洞攻击代码。

360安全专家石晓虹博士介绍说，IE"圣诞"漏洞是一个典型的远程代码执行漏洞，它是通过特定方式重复导入CSS样式表而触发漏洞。也就是说，当网友使用IE浏览器打开一个利用该漏洞挂马的网页时，电脑就会自动下载运行黑客设定的木马，使自己的重要帐号和个人隐私被木马窃取。

经分析，由于IE"圣诞"0day漏洞影响面广、对最新流行的"Win7+IE8"组合也极具杀伤力，未来很可能会成为挂马网页的主要攻击目标。360安全中心监测数据表明：目前国内共计有120余万个挂马网页，其中包括大批热门的小说网站和游戏网站，此外还有众多教育类和机构类网站也被黑客入侵挂马，360安全卫士"网盾"模块每天拦截的挂马网页攻击数量超过800万次。

"如果黑客利用IE0day漏洞来传播近期泛滥的'网购'木马，其危害将特别严重。"根据石晓虹介绍，国内主要的网上银行和网上支付平台只支持IE内核的浏览器，而圣诞节到元旦期间网上购物活动非常活跃，如果黑客借机传播"购物"木马，通过漏洞将木马潜伏在受害网友的电脑中，监视并篡改网上支付链接，就会使受害网友把购物或转账的钱直接打进黑客的账户里。

据悉，目前微软官方网站已对此漏洞发布了安全公告（CVE-2010-3971），建议用户安装并及时更新安全软件，但并没有透露何时将发布补丁。为此，360安全中心提示用户，近期上网时不要随便打开陌生人发来的链接和电子邮件，应注意定期扫描查杀木马，可以降低网上支付交易的风险。

360安全中心关于IE"圣诞"0day漏洞的技术分析

该漏洞是通过import方式重复导入CSS样式表导致的一个指针引用错误，通过unicode字符串的CSS样式表控制地址。

网上公开的漏洞攻击代码运用了一种最新的攻击方式，漏洞利用了.net库中没有经过ASLR随机地址的一个库文件，这个漏洞库是.net库的".NET IE mime filter DLL"。

漏洞触发后进入这个库的地址空间范围，通过ROP shellcode(Return Oriented Exploitation) 的方式绕过了IE8 DEP。同时，一些安全软件的部分网页防护功能也会因此失效。

不过，该漏洞攻击存在一个前提条件，就是需要恶意网页的访问者电脑中安装".NET库"。目前"Win7+IE8"默认安装了".NET库"，可以被黑客利用漏洞直接攻击"Win7+IE8"组合，再配合一个本地提权漏洞就可以绕过其"低权限保护模式"；Windows XP则没有默认安装".NET库"，因此黑客进行大规模挂马攻击还需要开发兼容的攻击代码。

360安全卫士"网盾"模块能够成功防御网上公开的漏洞攻击代码。目前360安全中心正在进一步评估漏洞威胁，预期将通过产品更新来彻底为用户免疫漏洞攻击。