Wykryta niedawno krytyczna luka w Microsoft XML Services doczekała się exploita, który jest publicznie dostępny jako moduł dla frameworka Metasploit. Luka może zostać wykorzystana do wykonania zdalnego kodu za pośrednictwem odpowiednio przygotowanych stron internetowych, otwartych w Internet Explorer. Na lukę podatne są także Office 2003 i 2007.
Chociaż exploit obecnie działa tylko z Microsoft XML Core Services 3.0 w IE6 i IE7 w systemie Windows XP (SP3), luka dotyczy wszystkich obsługiwanych wersji systemu Windows.
W poradniku zabezpieczeń, firma Microsoft zaleca użytkownikom zastosowanie rozwiązania “Fix it” do momentu wydania łatki naprawiającej lukę. Zazwyczaj przygotowanie explota trwa nieco dłużej, jednak tym razem twórcom exploita udało się przechytrzyć Microsoft. Firma z Redmond zauważa, że jest już “świadoma aktywnych ataków” z wykorzystaniem tej luki.
Źródło: Heise