[u-help]

Trend Micro сегодня сообщила об обнаружении новой атаки, эксплуатирующей ранее обнаруженную уязвимость в Windows Media Player. Так называемая уязвимость MIDI Remote Code Execution Vulnerability (CVE-2012-0003) ранее была обнаружена экспертами, однако только сейчас были обнаружены примеры с ее использованием. Уязвимость срабатывает, когда потенциальный хакер обманным путем вынуждает пользователя открыть специально сконструированный MIDI-файл в среде WMPLayer.

Microsoft 10 января выпустила исправление для данного бага в рамках традиционного ежемесячного выпуска патчей, заявив, что данная конкретная уязвимость позволяет получать полный контроль над системой. Указанная уязвимость затрагивает Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008, но не Windows 7 или Windows Server 2008 R2.

В Trend Micro говорят, что в обнаруженном ими образце атаки хакеры использовали принцип так называемых атак drive-by-download, когда при обработке HTML-кода происходит удаленное обращение ко встроенному MIDI-файлу. Уязвимость эксплуатируется путем использования 2х компонентов: MIDI файла, определяемого как TROJ_MDIEXP.QYUA, и сценарий Java, определяемого как JS_EXPLT.QYUA. Удаленный вызов запускает в системе соответствующий плагин и происходит выполнение эксплоита. В случае успешной атаки на целевую систему происходит установка трояна TROJ_DLOAD.QYUA.