其实ms09-002没有文章说得那么火,也许过段时间会火起来,但现在还差得远。
ms09-002和ie xml 0day(ms08-078)对比的话,略逊一筹,原因很简单:
其一,ie xml 0day在ms08-078补丁发布之前就已经很泛滥了(当时70%以上的挂马已利用了该漏洞),ms09-002不是0day,微软补丁出现一周后才陆续有人利用,危害显然低了一个档次;
其二,看看微软的bulletin就知道,ms09-002影响的软件平台范围没有ms08-078广泛,各平台上的危害等级都小于或等于ms08-078;
考虑到二者在windows xp + ie7和windows vista + ie7的主流环境上危害程度一致,所以用了“略逊”这个词。
现在,ms09-002的漏洞代码刚刚被milw0rm公布了不到2天,的确拦截到了十来个利用实例,比如:
hxxp:www.lkjdlfior.cnxoiii.htm,hxxp:www.slllj4.cna1ss.htm,但整体利用率尚不足10%,也许我们应该多等些时间,毕竟当初ms08-078一个堂堂0day也花了一周时间才成为最火的挂马漏洞。
参考瑞星前几次红色警报——磁碟机、诺顿误杀、flash漏洞(cve-2007-0071)的情形,似乎ie xml 0day那次忘拉了,而这次警报的风格似乎更加未雨绸缪。
当然,警报早拉两天也不算什么坏事,但文章中所说的瑞星截获挂马攻击翻番的事情,要么是截获能力提高了,要么是用户群扩大了,要么是算错了,要么是别的什么原因,总之,那不关ms09-002什么事。