Een dinsdag gepatcht beveiligingslek in Internet Explorer wordt al zeker twee weken actief door hackers gebruikt om bij organisaties in te breken. Het lek, CVE-2012-1875, werd door Google, McAfee, Qihoo 360 en VulnHunt aan Microsoft gerapporteerd. McAfee ontdekte de kwetsbaarheid op 1 juni. Volgens Microsoft is het lek in alle ondersteunde IE-versies op alle ondersteunde Windows-platformen aanwezig.
Windows
De exploit die de aanvallers gebruiken werkt echter niet tegen een standaard Windows 7 installatie. Om beveiligingsmaatregelen zoals data execution (DEP) en address space layout randomization (ASLR) protection te omzeilen, gebruikt de exploit return-oriented programming (ROP). De aanval op Vista en Windows 7 werkt echter alleen als er op het systeem een oude Java virtual machine aanwezig is met een versie van msvcr71.dll die niet over ASLR beschikt.
Als Java niet is geïnstalleerd, of het gewenste DLL-bestand zonder ASLR ontbreekt, werkt de aanval niet en zal Internet Explorer alleen crashen, zo laat Yichong Lin van McAfee weten.
Op Windows XP werkt de exploit zonder Java-onderdeel. Is de aanval succesvol, dan wordt er een Remote Access Tool (RAT) gedownload, zo blijkt uit deze analyse van AlienLabs.
Deze posting is gelocked. Reageren is niet meer mogelijk.