XP停服后首个远程0day漏洞来袭，360XP盾甲首家防护

暮光之城

微软公司于北京时间27日上午发布了新的安全通告2963983，通报一个已经被用于恶意攻击的、针对IE浏览器的安全漏洞CVE-2014-1776。这是4月8日微软停止XP更新服务后的第一个远程0day漏洞。目前360安全卫士“XP盾甲”可防护针对该漏洞攻击的样本。

该漏洞是IE浏览器的远程代码执行漏洞，由美国安全公司FireEye最早发现，根据微软安全响应中心和FireEye的分析，该漏洞影响微软IE6、IE7、IE8、IE9、IE10和IE11浏览器，由于XP已经停止更新，所以在通告上受影响系统并未列出XP，但由于Windows 2003 + IE6～IE8的组合也受影响，基本可以肯定XP也是受影响的。

目前的攻击样本专门针对于IE9~IE11，并结合了一些新的攻击手法，绕过Windows的DEP+ASLR机制，以及尝试绕过微软的EMET防护。

据FireEye公司发布的公告，该漏洞被认为用于一项名为“Operation Clandestine Fox”的间谍行动。漏洞攻击样本使用“堆风水”技术，利用SWF文件来操纵IE中的堆，并破坏Flash Vector Object来构造任意内存读写，绕过微软Windows的ASLR+DEP防护机制，同时，样本试图使用一项已经公开的绕过微软EMET保护的技术，来绕过EMET保护。

根据目前公开的信息，360安全卫士“XP盾甲”可以防护这个攻击，XP盾甲应用程序加固引擎的ROP攻击防护和ShellCode攻击防护，可以拦截漏洞样本中使用的攻击技术，保护用户不受该漏洞攻击样本的影响。