Данная уязвимость позволяет атакующим передавать на компьютер-жертву злонамеренный код. Уязвимость была обнаружена польской компанией iSEC Security Research.

Публично об уязвимости стало известно в субботу, причем в iSEC говорят, что под ударом находятся как пользователи IE7, так и пользователи IE8. В Microsoft говорят, что их технические специалисты уже в курсе проблемы и исследуют ее.

Также в Microsoft заявили, что по их данным новые операционные системы, в том числе Windows Vista, Windows 7, Windows Server 2008 и Server 2008 R2 не подвержены этой атаке.

Кроме того в Редмонде говорят, что пока не располагают данными, говорящими о широком распространении проблемы и наличии эксплоитов для нее.

В iSEC омтечают, что найденную уязвимость можно было бы классифицировать, как "логическую уязвимость", позволяющую внедрить вредоносный код в код файлов помощи, использующих в Windows разрешение .hlp.

В Microsoft классифицируют данную уязвимость как проблему средней критичности, так как от пользователя требуется явное согласие на запуск вредоносного кода и сама система инициировать его исполнение не может.

"Для начала атакующему нужно заманить пользователя на сайт с кодом, далее код должен быть загружен и вызван при помощи включенного интерпретатора VBScript", — говорится в аналитической заметке iSEC. С технической точки зрения уязвимость эксплуатирует широко распространенную функцию MsgBox().

В Microsoft и iSEC говорят, что на данный момент исправления для уязвимости нет и она работает даже на полностью пропатченных операционных системах Windows XP.

Поделиться
Комментарии