日前，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)了在Silverlight應(yīng)用程序中存在一個(gè)危險(xiǎn)的零日漏洞，為百萬用戶帶來安全隱患。

本周三，在一篇博文中，網(wǎng)絡(luò)安全公司卡巴斯基表示，該漏洞將允許攻擊者獲取進(jìn)入到受感染計(jì)算機(jī)的權(quán)限并執(zhí)行惡意代碼竊取秘密情報(bào)，并且可以隨他們的意志實(shí)施監(jiān)視，并造成大規(guī)模的破壞。

Silverlight中文名為“微軟銀光”，是由微軟公司開發(fā)的一種新的Web呈現(xiàn)技術(shù)，借助該技術(shù)，您將擁有內(nèi)容豐富、視覺效果絢麗的交互式體驗(yàn)。支持來自全球的數(shù)百萬PC用戶在不同的操作系統(tǒng)上安裝操作，框架內(nèi)的安全漏洞被報(bào)道的現(xiàn)象并不常見，但是，這些漏洞可能是具有災(zāi)難性的。
Microsoft Silverlight遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-0034)，是在Ars Technica（美國(guó)知名科技博客媒體）報(bào)道了出售漏洞利用與監(jiān)視工具的Hacking Team和Vitaliy Toropov（一名獨(dú)立的漏洞開發(fā)者）之間的可疑聯(lián)系后被發(fā)現(xiàn)的。有資料表明，Toropov曾試圖將微軟Silverlight的零日漏洞出售給Hacking Team。

該漏洞無法引起Hacking Team的興趣，卻引起了卡巴斯基的注意。

據(jù)安全公司卡巴斯基的說法，研究表明Toropov是一個(gè)活躍的開源漏洞數(shù)據(jù)庫(kù)（OSVDB）貢獻(xiàn)者，2013年時(shí)，他曾發(fā)表了描述了Silverlight的漏洞的POC報(bào)告（只是證據(jù)，證明該漏洞存在，但并不是利用方法，無法直接利用）。

卡巴斯基公司說，通過分析，代碼中的一些獨(dú)特的串脫穎而出，充當(dāng)了公司檢測(cè)技術(shù)的樣本沖刷了利用該漏洞實(shí)施網(wǎng)絡(luò)攻擊的痕跡。

卡巴斯基公司稱：“如果Toropov曾經(jīng)試圖出售零日漏洞給Hacking Team，那么他也極有可能對(duì)其他間諜軟件廠商做了同樣的事”。 “作為這次活動(dòng)的結(jié)果，其他的網(wǎng)絡(luò)間諜活動(dòng)可以積極地使用該漏洞去攻擊、感染不知情的受害者。”

結(jié)果，卡巴斯基其中一家客戶被代碼攻擊，經(jīng)過卡巴斯基對(duì)攻擊進(jìn)行分析，發(fā)現(xiàn)有人利用了Silverlight中的未知漏洞，并隨后將這個(gè)問題報(bào)告給微軟。

Costin Raiu，卡巴斯基實(shí)驗(yàn)室的全球研究和分析團(tuán)隊(duì)主任說：“雖然我們不知道我們發(fā)現(xiàn)的這個(gè)漏洞，是否正是被Ars Technica的文章中提到的，但是我們有充分的理由相信它確實(shí)是相同的。”

對(duì)比Vitaliy Toropov前期的作品，我們發(fā)現(xiàn)最新的漏洞發(fā)掘者與以Toropov名義發(fā)表的關(guān)于OSVDB的POC報(bào)告的是同一個(gè)人。同時(shí)，我們也不能完全排除我們發(fā)現(xiàn)了又一個(gè)Silverlight零日漏洞的可能性。

1月12日星期二，針對(duì)CVE-2016-0034漏洞，微軟已經(jīng)發(fā)布了最新的補(bǔ)丁，2016年微軟Windows用戶必須盡快去更新他們的系統(tǒng)了。