Так называемая уязвимость MIDI Remote Code Execution Vulnerability (CVE-2012-0003) ранее была обнаружена экспертами, однако только сейчас были обнаружены примеры с ее использованием.
Уязвимость срабатывает, когда потенциальный злоумышленник обманным путем вынуждает пользователя открыть специально сконструированный MIDI-файл в среде WMPLayer.
Корпорация Microsoft 10 января выпустила исправление для данного бага в рамках традиционного ежемесячного выпуска патчей, заявив, что данная конкретная уязвимость позволяет получать полный контроль над системой.
В Trend Micro говорят, что в обнаруженном ими образце атаки хакеры использовали принцип так называемых атак drive-by-download, когда при обработке HTML-кода происходит удаленное обращение ко встроенному MIDI-файлу. Удаленный вызов запускает в системе соответствующий плагин и происходит выполнение эксплоита. В случае успешной атаки на целевую систему происходит установка троянского программного обеспечения TROJ_DLOAD.QYUA, анализ которого в антивирусной компании пока не завершен.
Дэвид Санчо, старший антивирусный аналитик Trend Micro, говорит, что новая атака, судя по всему, не имеет какой-то узкой направленности и ориентирована на как можно большее число пользователей. Впрочем, на данный момент атака не слишком сильно распространена, говорит он.
Указанная уязвимость затрагивает операционные системы Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008, но не Windows 7 или Windows Server 2008 R2, пишет CyberSecurity.ru.