Microsoft до сих пор медлит с выпуском патча для опасной 0day-уязвимости, а эксплойт уже пошел в народ. Компания Rapid7 включила его в популярный фреймворк для пентестинга Metasploit. Правда, этот модуль работает только против IE9 на Windows 7 SP1 с установленным Office 2007 или Office 2010.
Первое официальное сообщение о наличии эксплойта для браузеров Internet Explorer 6-11 появилось 17 сентября. Сама же компания Microsoft предупредила пользователей, что новая 0day-уязвимость эксплуатируется хакерами, якобы, только для узкотаргетированных атак в Японии.
На сегодняшний день полноценная версия эксплойта уже используется как минимум в трех масштабных атаках за пределами Японии.
Две недели назад Microsoft выпустила временную заплатку Fix It, которая ограничивает функциональность браузера, чтобы не допустить срабатывания эксплойта. Перед ее установкой нужно накатить сентябрьский патч KB2870699.
Уязвимость CVE-2013-3893 относится к браузерам Internet Explorer 6-11 под всеми версиями ОС, кроме Server Core, и допускает удаленное исполнение кода. Согласно официальному описанию, сбой возникает из-за неправильного доступа браузера к объекту в памяти, который был удален или неправильно размещен. Эксплойт с удаленным исполнением кода означает, что злоумышленник может установить вредоносное ПО на компьютере пользователя, просто направив его на постороннюю веб-страницу (атака drive-by).
Microsoft обещала рассмотреть возможность выпуска полноценного патча в экстренном порядке или в рамках стандартного кумулятивного набора обновлений, который традиционно появляется во второй вторник каждого месяца. Судя по всему, компания решила все-таки подождать Patch Tuesday, так что у злоумышленников есть полноценная неделя, чтобы использовать эксплойт на миллионах ничего не подозревающих пользователей.