Prima VML poi daxctle.ocx ed ora setSlice 0day exploit

Il bug nella funzione setSlice(), scoperto a Luglio e tutt’ora 0day, permette di eseguire codice arbitrario durante la visione di una pagina html tramite Internet Explorer.
La funzione setSlice() è utilizzata da un ActiveX di IE per visualizzare direttamente nel browser il contenuto di cartelle locali come file, immagini ecc..

Lo scorso 27 Settmbre è stata rilasciata la prima versione pubblica di un exploit che sfrutta la copia di memoria arbitraria invocando setSlice() con il primo parametro uguale a 0x7fffffff. Ieri, 30 Settembre sono state avvistate le prime pagine contenenti iframe con destinazione a pagine esterne contenenti l’exploit. Le pagine esterne contenti il codice malevolo hanno l’html offuscato tramite JavaScript.
Microsoft, nella sua advisory, consiglia di disabilitare l’ActiveX, interessato dal problema, fin quando non sarà rilasciata una patch. SANS ha pubblicato un report dettagliato sul killbit utilizzato dall’exploit.
Intanto ZERT e Determina hanno rilasciato una patch non ufficiale per questo bug.

 

I commenti sono chiusi.