Microsoft waarschuwt voor een bug in Internet Explorer waarmee kwaadwillenden via een css-bestand eigen code kunnen uitvoeren. De softwaregigant werkt aan een patch en voor bezorgde gebruikers is er een workaround.

De bug waarvoor Microsoft waarschuwt, maakt het mogelijk om uitvoerbaar geheugen aan te spreken en aan te passen, waardoor de data execution prevention in Windows wordt omzeild. Dep is bedoeld om het uitvoeren van code in niet-uitvoerbaar geheugen, bijvoorbeeld door middel van buffer overflows, te voorkomen.

Doordat een oud dll-bestand van Internet Explorer geen ondersteuning voor aslr heeft, is een aanvaller in staat om met een speciaal geprepareerd css-bestand uitvoerbaar geheugen te lokaliseren en er eigen machine-instructies in te plaatsen. Vervolgens wordt de code uit de exploit uitgevoerd, waardoor remote code execution heeft plaatsgevonden. De nieuwe versie van Metasploit bevat een proof-of-concept van de kwetsbaarheid.

Alle Internet Explorer-versies zijn volgens Microsoft kwetsbaar, maar de potentiële schade verschilt per systeem, zo blijkt uit een post op TechNet. Zo voorkomt de beschermde modus in Windows Vista en Windows 7 dat aanvallers code met beheerrechten uitvoeren.

Microsoft zegt nog aan een permanente patch te werken, maar de EMIT-toolkit van Microsoft kan alvast worden gebruikt om het gat te dichten. Na het patchen van het schuldige dll-bestand, mscorie.dll, krijgt dit bij het inladen een willekeurig base-adres, waarna een exploit waarschijnlijk niet meer in staat is om het kwetsbare geheugen te vinden en aan te passen.