Błąd w zabezpieczeniach odkryty został przez członka projektu iSEC Security Research, Maurycego Prodeusa. Polak już kilka dni temu opisał dziurę w języku skryptowym VBScript która w pewnych okolicznościach może doprowadzić do zdalnego wykonania kodu na atakowanej maszynie. Usterka dotyczy przeglądarki Internet Explorer w wersjach 8, 7 i 6 w systemie Windows XP.
Infekcja możliwa jest jedynie przy udziale użytkownika. Aby doszło do ataku napastnik musi dostarczyć spreparowany plik Windows Help (z rozszerzeniem .hlp), a użytkownik musi wcisnąć klawisz F1. Microsoft poinformował o luce na blogu Microsoft Security Response Center (MSRC). Na tą chwilę wiadomo, że nie odnotowano przypadków ataku z wykorzystaniem tego błędu. Lula na pewno nie występuje w systemach Windows 7, Microsoft Windows Server 2008 R2, Windows Server 2008 i Windows Vista.
Więcej informacji o błędzie znaleźć można na blogu MSRC. Raport iSEC Security Research dostępny jest pod tym adresem.
Źródło: isec.pl, Microsoft