Специалисты FireEye сообщили об обнаружении двух новых уязвимостей в Internet Explorer

Занимающаяся сетевой безопасностью компания FireEye несколько дней назад сообщила о нахождении очередных «уязвимостей нулевого дня» в составе веб-браузера Internet Explorer компании Microsoft. Затронуты оказались англоязычные версии браузеров IE 7 и 8 на операционной системе Windows XP и версия IE 8 на Windows 7. Версии на других языках также могут оказаться под угрозой.

Одна из двух открытых уязвимостей используется для получения временной метки из заголовка программы. Она передаётся на сервер злоумышленника, позволяя выбрать специфическую для конкретной версии файла msvcrt.dll ROP-цепочку. Использование методов обратно-ориентированного программирования (ROP) позволяет скрывать исполняемый код от систем антивирусной защиты.

Дальнейший анализ специалистов FireEye показал, что данный эксплоит является частью более масштабной угрозы, в рамках которой злоумышленники внедрили код в «стратегически важный веб-сайт». Загрузка кода происходит без записи на диск, что ещё сильнее усложняет его обнаружение существующими системами безопасности. Он представляет собой шелл-код, декодируемый и внедряемый непосредственно в память после успешного выполнения ряда подготовительных шагов.

Представители FireEye не называют, какой конкретно сайт оказался скомпрометирован, предлагая использовать для предотвращения подобных атак утилиту Microsoft Enhanced Mitigation Experience Toolkit.