警惕:IE70day漏洞正在被恶意利用

一、事件分析

根据网友反馈访问某网站IE假死，经过分析发现该网站被挂马，除了flash漏洞，realplay漏洞之外发现一段未知的恶意脚本，经过一些热心的网友帮忙测试基本将目标锁定为IE7。

经过金山反病毒专家初发分析，确认这是IE7的0day漏洞。且已截获两个恶意挂马网站。

这是某黑客网站销售这个0day漏洞网马生成器的广告

这是对挂马网页漏洞代码的一些分析

病毒分析员们尽量用通俗的语言解说这个漏洞：

病毒网页在javascript脚本中构造了一个恶意的xml串。

xml串中存在一个格式异常标签且包含image标记的CDATA标记。

因为CDATA标记的格式不正常，所以IE7解析xml时会继续解析CDATA标记中的image标记。

这个image标记中的SRC也是经过构造的，它利用了IE7在解析URI时的一个漏洞。当IE7在解析image的SRC时, 会溢出执行javascript脚本中的shellcode。

• 毒霸工程师实战:疯狂的NS下载器↑上一篇文章
• IE 0day漏洞升级 数十家网站被挂马↓下一篇文章