Abysssec ha pubblicato un video in cui dimostra l’esistenza di una vulnerabilità nella gestione dei CSS di Internet Explorer 8 su un sistema Windows 7 o Vista completamente aggiornato.
La vulnerabilità bypassa DEP e ASLR, fa crashare Internet Explorer e permette di eseguire del codice arbitrario (nel video viene eseguita la calcolatrice di Windows).
Microsoft ha pubblicato una nota tecnica in merito: il problema può essere mitigato se si utilizza EMET. Fermin Serna ha pubblicato un articolo su Technet in cui spiega alcuni dettagli tecnici del baco.
Per il momento, non si hanno notizie di malware che sfruttino questa vulnerabilità. (via SANS)