Специалисты по информационной безопасности опубликовали исходные коды эксплоита, использующего незакрытую уязвимость в Microsoft Internet Explorer в среде Windows 7. В Microsoft признали проблему и заявили, что работают над исправлением. "Microsoft расследует утверждения о возможной уязвимости в Internet Explorer. Пока мы не обнаружили каких-то реальных атак, использующих эту проблему", - говорит Дейв Форстром, директор группы Microsoft Trustworthy Computing. Впервые баг был обнаружен в начале декабря французской ИТ-компанией Vupen, сообщившей о проблеме в HTML-движке браузера. Уязвимость проявлялась, когда браузер начинал обрабатывать файлы CSS-стилей, доступ к которым осуществлялся через директиву @import. Данная директива позволяет подгружать CSS-стили в обрабатываемую страницу из внешних источников. Vupen опубликовала информацию, согласно которой уязвимость присутствует в IE8 в операционных системах Windows XP, Vista и 7, а также в IE6 и IE7 на XP. При этом компания заявляет, что создала эксплоит только для тестовых целей, однако технически злоумышленник может разместить вредоносный код на различных веб-страницах. Кроме того, специалисты Offensive Security опубликовали видео, которое демонстрирует успешное выполнение произвольного программного кода с обходом механизмов защиты памяти DEP и ASLR.
Источник