Компания Microsoft в срочном порядке начала разработку патча для
0-day эксплоита, под влиянием которого
оказался браузер Internet Explorer.
В Security Advisory 2488013 Microsoft предупредила пользователей о новой
уязвимости в Internet Explorer. В своем TechNet блоге Microsoft сообщила: "Эта
уязвимость влияет на все версии IE. Использование данной уязвимости может
привести к удаленному исполнению несанкционированного кода внутри процесса
iexplore.exe".
Microsoft сказала, что открытый проект, посвященный информационной
безопасности и занимающийся созданием и тестированием эксплоитов, Metasploit,
выпустил эксплоит для уязвимости используя известные техники обхода ASLR (Address
Space Layout Randomization) и обхода DEP (Data Execution Prevention), которые
используются для предотвращения выполнения вредоносного кода в IE.
IE использует библиотеки динамической компоновки (DLL) для рендеринга
определенного типа контента. Некоторые из них поддерживают ASLR и не могут быть
атакованы, но IE позволяет запуск DLL и не поддерживающих ASLR. Эти DLL,
запускаемые в определенном месте памяти, и могут быть выбраны мишенью.
По словам Пола Даклина, технического директора компании Sophos, хорошим
средством защиты является использование Microsoft Enhanced Mitigation Experience
Toolkit (EMET). "С данной утилитой вы можете усилить защиту приложений для
применения ASLR для каждой загруженной DLL, требует ли сама DLL этого или нет.
Это делает намного менее вероятным, что удаленный эксплоит, базирующийся на
определенном адресе памяти, одержит верх", - написал он в блоге NakedSecurity.