11 декабря 2008 в 00:11

0-day эксплоит в IE7

В дополнение к посту: Новая атака на незакрытый изъян в браузере IE

0-day-эксплоитами называют те уязвимости, которые обнаруживают хакеры и для которых ещё не выпущено исправлений или о которых ничего неизвестно соответствующим органам безопасности компаний, в чьих продуктах были найдены бреши.

Оказывается, «нашумевшая» в последние дни дыра в безопасности IE7, не была устранена во вчерашнем (09.12.2008) патче MS08-073. Это означает, что эта уязвимость на данный момент присутствует в полностью пропатченной Windows XP.

Куча (англ. heap) — в информатике и программировании регион зарезервированного адресного пространства, условное название структуры данных, поверх которой реализована динамическая память приложения. Wikipedia

Эксплоит основывается на переполнении кучи, данная атака известна как heap overflow, воздействуя на XML парсер браузера. После установки кучи с шел-кодом, эксплойт проверяет возможность работы. Для «успешной» работы эксплоита требуется браузер IE7 и Windows XP или Windows 2003.

Далее следует небольшая задержка в несколько секунд, которая позволяет обмануть антивирусы, и вредоносный код выполняется.

Следует оговориться, что коды данного эксплоита находятся в открытом доступе на множестве информационных сайтов по безопасности. Это говорит о высокой вероятности массовых атак такого рода, в том числе и со стороны sсript kiddie. Будьте бдительны!

по мотивам 0-day exploit for Internet Explorer in the wild
Вадим @dnabyte
карма
75,2
рейтинг 0,0
Software Developer
Похожие публикации
Самое читаемое Разработка

Комментарии (28)

  • –7
    Вот уроды…
  • +6
    Тридцать процентов компьютеров вне опасности.
    • +13
      вне этой опасности.
      • +2
        всегда остается главная опасность — человек…
  • +10
    нам не привыкать не исспользовать IE.
    • +4
      Не обязательно использовать IE. Существует множество программ, не являющихся браузерами, но использующих «движок» IE для визуализации какой-либо информации, в т.ч. подгружаемой из интернета.
  • +13
    кучка эксплорера
  • –6
    >… Это говорит о высокой вероятности массовых атак такого рода, в том числе и со стороны sсript kiddie.

    ага, и пост еще больше увеличил эту вероятность
    • +2
      Всё же лучше знать, чем быть потенциальной жертвой. Те кто использует такого рода атаки, в том числе и sсript kiddie, прекрасно знают где такие скрипты выкладываются.
      • –1
        спасибо за карму, видать я оскорбил чьи-то высокие чувства

        >Всё же лучше знать
        что ie — кривой дырявый софт? кому не все равно, чем пользоваться, тот уже решил эту проблему, остальные же так и продолжат сидеть на ie.

        надо агитировать за переход на более адекватные браузеры, а не давать лишний повод детям, рассказывая, что эксплоит можно свободно скачать со порталов
        • 0
          Осведомлён — значит защищён. Как защититься (сменить браузер, быть бдительным и т.п.) это уже выбор конкретного человека.

          Если кто то захочет поюзать эксплоиты, трояны, вирусы и т.п., они их без труда найдут, а пользователь в такой ситуации будет в розовых очках.
  • –1
    А на хабре есть почитатели BHC? Шелл-кодесов? =)
    • 0
      holyBHC && Xo3e
  • 0
    Не юзаю, к счастью, это чудо програмистской мысли…
    • 0
      от слова экстремистской?
    • +1
      Фаны минусуют =) Расстроились видать из-за дырки-то… Залатают, вон, в самбе, спустя 7 лет залатали дыру недавно, и в IE залатают.
  • 0
    Далее следует небольшая задержка в несколько секунд, которая позволяет обмануть антивирусы
    вы серьезно так думаете???
    • +5
      А почему бы и нет? Насколько мне известно, эвристика многих антивирусов базируется на анализе последовательности инструкций выполняемых программой, антивирус ищет вхождения потенциально опасного блока команд. Если-же вместо выполнения стандартного набора команд, ставить таймеры (к примеру) и вызывать эти команды по таймеру, имхо есть вероятность обмануть эвристику.

      Другое дело что вероятнее всего этот эксплоит уже давно добавлен в базу антивируса, и тогда польза от такого «заметания следов» сходит к нулю.
      • +4
        В середине 90-х введением задержки самолично обманывал эвристику Dr.Web (разумеется, в сугубо академических, исследовательских целях).
  • 0
    Мне конечно пофиг на уязвимость (*nix/opera), но интересно сколько времени Микрософт будет закрывать эту дыру. Неделю? месяц? год?
  • 0
    А Vista не подвержена благодаря DEP? Подтверждает статус самой безопасной ОС? ;)
    • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Размечтались)
      Вот вам и под висту сплойт: milw0rm.com/exploits/7410
  • –1
    Галактеко опасносте! :)
  • +2
    w00t microsoft l4m3rs. c00l haxxorz pwn’d th3m! :)
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Всегда думал, что сайты по безопасности делают некоторые тупые ошибки в кодах эксплоитов для защиты от скрипт-киди :)
  • 0
    Апдейт для висты уже пришел через windows update, для XP и других — не вкурсе.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.