Błąd oznaczony sygnaturą CVE-2012-1889 jest klasyczną luką typu "zero-day" - czyli taką, która została ujawniona i zaczęła być wykorzystywana do atakowania użytkowników zanim producent przygotował odpowiednią poprawkę. Ten konkretny błąd umożliwia nieautoryzowane uruchomienie kodu w systemie Windows - wystarczy, że użytkownik komputera wyświetli w przeglądarce Internet Explorer odpowiednio przygotowaną stronę WWW.

Microsoft informował o tym problemie już w połowie czerwca - koncern potwierdził występowanie luki i udostępnił instrukcję umożliwiającą tymczasowe zabezpieczenie systemu przed ewentualnym atakiem (m.in. za pomocą narzędzia Fix-it). Krótko później pojawiły się pierwsze eksploity - jeden z nich został włączony do pakietu Metasploit (wykorzystywanego przez specjalistów ds. bezpieczeństwa m.in. do przeprowadzania testów penetracyjnych), zaś teraz w możliwość atakowania systemu przez lukę w MSXML wyposażony został również zestaw eksploitów Blackhole.

Zobacz również:

• Luka w zabezpieczeniach WordPress

"W zaledwie tydzień od pojawienia się eksploita w Metaspolit bardzo podobny kod wprowadzono również do projektu Blackhole" - informują specjaliści z Sophos w firmowym blogu. Dodajmy, że Blackhole jest obecnie jednym z najczęściej wykorzystywanych narzędzi przestępczych - autorzy złośliwego oprogramowania używają go do infekowania komputerów internautów swoimi "produktami".

Eksperci obawiają się, że pojawienie się eksploita na CVE-2012-1889 w Blackhole zaowocuje gwałtownym zwiększeniem liczby ataków wykorzystujących tę lukę - szczególnie, że jest to błąd typu "zero-day", którego nie można na razie załatać instalując poprawkę.

Na razie jednak to nie nastąpiło - pracownicy Sophos nie wykluczają, że eksploit wprowadzony do Blackhole nie jest jeszcze dopracowany. Ale to może szybko się zmienić - dlatego firma zdecydowanie zaleca skorzystanie z tymczasowej metody zabezpieczenia systemu. Na razie nie wiadomo, kiedy można spodziewać się oficjalnej, "pełnej" poprawki Microsoftu.