Cei de la BitDefender au lansat o actualizare de urgenta pentru a proteja utilizatorii impotriva unei noi vulnerabilitati in Internet Explorer versiunile 6 si 7.

Microsoft a detaliat scenariile de atac in buletinul de securitate #981374, dar nu a lansat inca un patch pentru rezolvarea acesteia.

Anatomia atacului

Utilizatorii care folosesc Internet Explorer versiunile 6 si 7 se pot infecta prin simpla vizitare a unei pagini web special creata in care se foloseste cod JavaScript obfuscat. Acest cod genereaza o eroare tip "use-after-free" (folosire dupa dezalocare), cauzata de un pointer care este accesat dupa ce un obiect a fost sters.

Utilizatorul este ademenit sa viziteze o pagina web creata special printr-un link trimis fie intr-un mesaj spam sau postat pe un forum sau chiar pe retele sociale , etc. Pagina in cauza contine cod JavaScript camuflat prin folosirea functiei escape. Pentru a evitarea detectiei de catre solutiile anti-virus, script-ul acceseaza un al doilea JavaScript ce inlocuieste o variabila din cod cu un string unescape.

Rezultatul executiei este un exploit care va declansa un atac de tip "heap spray" (tehnica folosita de  un exploit care faciliteaza execuria unui cod in mod arbitrar) si va scrie cod malitios, care se va stoca permanent in cache-ul browser-ului: de fiecare data cand browser-ul este pornit, codul malitios este executat fara nici o interventie ulterioara, care va rezulta in descsrcarea automata a unui fisier numit notes.exe sau svchost.exe, detectat ca Trojan.Heur.PT.cqW@aeUw@pbb.

Patch Microsoft

Microsoft a anuntat ca exploit-ul circula deja online si ca utilizatorii vor primi in scurt timp un patch care sa ii protejeze. Cel mai probabil, furnizorul va emite un patch pe 13 aprilie.

Cum internet explorer 8 nu este vulnerabil la acest atac, urmatorul pas ar fi un upgrade imediat. Totusi multe aplicatii personalizate din mediul business sunt strict legate de IE6 sau IE7 si nu pot folosi Internet Explorer 8.